30

使用 Json.NET

JsonConvert.SerializeObject(new { Property = "<script>alert('o hai');</script>" })

返回

{"Property":"<script>alert('o hai');</script>"}

SerializeObject 是否可以转义该值以防止执行恶意脚本?我不希望对对象本身进行更改。

编辑:理想情况下,我想将清理集成到 SerializeObject 调用中,而不必在 SerializeObject 之前或之后处理对象。

编辑:输出的字符串JsonConvert.SerializeObject被分配给脚本块中的全局变量,我相信这是 XSS 问题所在。

4

4 回答 4

45

在4.5.11 版本中添加了实现此目的的功能

这允许您向输出添加各种类型的转义。

这是我的 LinqPad 测试:

    var settings = new JsonSerializerSettings();

    settings.StringEscapeHandling = StringEscapeHandling.EscapeHtml;

    var output = JsonConvert.SerializeObject(new { Property = "<script>alert('o hai');</script>" }, settings);

    Debug.Print(output);

输出

{"Property":"\u003cscript\u003ealert(\u0027o hai\u0027);\u003c/script\u003e"}

就像免责声明一样,这不是修复 xss 的金子弹,但应该根据您的示例帮助您减轻它。

于 2014-10-10T09:39:36.933 回答
18

这可能并不理想,但这是我的解决方案(至少现在):

JsonConvert.SerializeObject(new { Property = "<script>alert('o hai');</script>" }, new HtmlEncodeStringPropertiesConverter());

使用简单的 JsonConverter 对值执行 HtmlEncode(如果它是字符串)

public class HtmlEncodeStringPropertiesConverter : JsonConverter
{
    public override bool CanConvert(Type objectType)
    {
        return objectType == typeof(string);
    }

    public override object ReadJson(JsonReader reader, Type objectType, object existingValue, JsonSerializer serializer)
    {
        throw new NotImplementedException();
    }

    public override void WriteJson(JsonWriter writer, object value, JsonSerializer serializer)
    {
        writer.WriteValue(Encoder.HtmlEncode(value.ToString()));
    }
}

Encoder来自Microsoft.Security.Application.EncoderAntiXSS 库)

于 2012-05-29T18:15:14.520 回答
5

在 .NET Core 3.0 中,System.Text.Json.JsonSerializer默认转义 html 字符。

var text = "<script>alert('o hai');</script>";

var json = System.Text.Json.JsonSerializer.Serialize(new { Property = text });

Console.WriteLine(json);

输出

// .NETCoreApp,Version=v3.0
{"Property":"\u003Cscript\u003Ealert(\u0027o hai\u0027);\u003C/script\u003E"}

文档

如何在 .NET序列化和反序列化 JSON 在序列化行为部分中说:

默认编码器转义非 ASCII 字符、ASCII 范围内的HTML 敏感字符以及必须根据JSON 规范转义的字符。

还请检查JavaScriptEncoder.UnsafeRelaxedJsonEscaping的备注,因为它包含一系列以与 Default开头的备注。

我不想逃避它

JavaScriptEncoder.UnsafeRelaxedJsonEscaping需要设置为关闭默认行为。

var options = new System.Text.Json.JsonSerializerOptions() { 
  Encoder = System.Text.Encodings.Web.JavaScriptEncoder.UnsafeRelaxedJsonEscaping
};
var json2 = System.Text.Json.JsonSerializer.Serialize(new { Property = text }, options); 
Console.WriteLine(json2);

{"Property":"<script>alert('o hai');</script>"}

UnsafeRelaxedJsonEscaping的文档

备注UnsafeRelaxedJsonEscaping:_

与默认编码器不同,此编码器实例不会转义 HTML 敏感字符,例如 <、>、&。因此,必须谨慎使用;例如,如果输出数据在内容类型已知且字符集设置为 UTF-8 的响应中,则可以使用它。

与默认编码不同,引号被编码为 " 而不是 \u0022。

与默认编码(仅允许 UnicodeRanges.BasicLatin)不同,使用此编码器实例允许 UnicodeRanges.All 未经转义。

与默认编码器不同,此编码器实例允许其他一些字符(例如“+”)不转义,因此必须谨慎使用。

于 2019-10-22T12:23:05.620 回答
4

不,JSON.NET 是一个 JSON 序列化程序。它不是 XSS 消毒剂。您可以查看 Microsoft 的AntiXSS库。这是MSDN 上的一篇关于其用法的文章(有点过时但仍然相关)。

于 2012-05-25T14:30:47.900 回答