我发现自己需要清除用户在 .Net Core MVC 应用程序中添加的 cmets 中的 javascript。在以前的框架中,这可以通过首先将字符串传递给 JavaScriptStringEncode 来实现。
var comment = HttpUtility.JavaScriptStringEncode(model.Comment);
但是,我无法在 .net 核心中找到等效项。
【问题讨论】:
标签: javascript asp.net-core-mvc
这是 .net 核心中 HttpUtility.JavaScriptStringEncode 的等价物:
using System.Text.Encodings.Web; //part of System.Text.Encodings.Web nuget package
...
var encodedText = JavaScriptEncoder.Default.Encode("TextToEncode");
【讨论】:
在视图中有一个helper 可用作@Json.Serialize。它使用 JSON.Net,考虑到 Startup.cs 中配置的任何格式选项:
var foo = @Json.Serialize(model);
请记住,这默认情况下不会对 json 进行 XSS 清理!但是,您可以使用允许您执行此操作的重载,将 JSON.Net 的 StringEscapeHandling 选项指定为 EscapeHtml:
@using Newtonsoft.Json
...
var foo = @Json.Serialize(model, new JsonSerializerSettings { StringEscapeHandling = StringEscapeHandling.EscapeHtml });
您可以将其包装到您自己的助手中,例如 @Json.SafeSerialize 或 @SafeJson.Serialize。
我还没有找到比您自己的助手更好的方法,而无需通过 Startup 中的 json 选项强制默认的 JsonOutputFormatter 以这种方式运行:
services.AddMvc().AddJsonOptions(opts => opts.SerializerSettings.StringEscapeHandling = StringEscapeHandling.EscapeHtml)
后一种方法的问题(以及您可能更喜欢自定义帮助程序的原因)是它还会影响从您的 API 返回的 JSON。
附言。我在github 上提出了这个问题。
【讨论】:
你可以使用同样的方法,像剃刀上的这个例子一样使用它:
@System.Web.HttpUtility.JavaScriptStringEncode(YourStringHere)
更新:
正如@Dai 所说,这只有在你的目标是 .NET Framework 时才有效,而 ASP.NET Core 不鼓励使用它。
【讨论】:
System.Web.dll 不可用。如果您的目标是 .NET Framework 而不是 .NET Core,并且您的项目引用 System.Web.dll(不鼓励使用 ASP.NET Core),这仅适用于 ASP.NET Core。