参见即:http://jsfiddle.net/agv9ya39/
var json = { name: "</script><script>alert(123);</script>" };
请注意,我确实想在页面中嵌入json(数据与页面密切相关,无法缓存,我不想做额外的请求)
一种解决方案是在输出之前对整个 json 字符串执行 String.Replace("</script>)。但这感觉很老套,而且我可能遗漏了其他易受 XSS 攻击的案例。
当然,我也可以确保它永远不会像这样在数据库中结束,但我宁愿有一个额外的保护,以防万一有东西滑入。
我正在使用 C# 和 Json.Net。
【问题讨论】:
您可以将 <!-- 和 </script> 替换为 <\!-- 和 <\/script> 以涵盖 JSON 的所有 <script> 突破。不过,请考虑将 JSON 放入 data-* 属性中,然后使用 JSON.parse 读取它。
<div id="some-relevant-element"
data-json="{"name":"</script><script>alert(123);</script>"}">
…
</div>
<script>
var someRelevantElement = document.getElementById('some-relevant-element');
var json = JSON.parse(someRelevantElement.getAttribute('data-json'));
</script>
【讨论】:
data-属性中时,你必须HTML-attribute-escape它。
/ 就足够了(因为唯一有问题的字符串是 </string>)
<!--<script> 序列将导致合法的</script> 被视为脚本的一部分。我会在某个时候找到一个例子。