我一直在阅读Preventing the Execution of Unauthorized Script in JSON,我想使用这种做法。
问题在于我不知道我该怎么做。
我的json结果是这样的
return Json(new { elements = elements }, JsonRequestBehavior.AllowGet);
我试过了
return Json(new { "while(1);", elements = elements }, JsonRequestBehavior.AllowGet);
它不起作用。
我该怎么做?
答案 0 :(得分:0)
这是让你的JSON无效的好方法。您应该专注于解析JSON数据的方式。如果您不开始使用eval,这将不是问题。投资学习使用像jQuery这样的框架。我相信jQuery完全避免使用eval,这意味着即使恶意用户试图注入脚本它也是安全的。
如果GMail到目前为止实际使用这种技术,我会感到非常惊讶。
话虽如此,您正在寻找eval或JSON.Parse。