我有 ApiConroller 的方法看起来像这样:
[HttpGet]
public IEnumerable<MyValue> Values()
{
return db.MyValues.ToList();
}
它返回一个 JSON 数组。我使用 jQuery 来获得结果。如何防止该数组被劫持,例如自动嵌套等?
问问题
1390 次
2 回答
8
你可以用通用的方式来做。
添加以下类:
public class SecureJsonMediaTypeFormatter : JsonMediaTypeFormatter
{
public override System.Threading.Tasks.Task WriteToStreamAsync(Type type, object value, System.IO.Stream writeStream, HttpContent content, TransportContext transportContext)
{
if ((typeof (IEnumerable).IsAssignableFrom(type)))
{
value = new {result = value};
}
return base.WriteToStreamAsync(type, value, writeStream, content, transportContext);
}
}
现在,在你的 WebApiConfigJSonMediaTypeFormatter中用这个新的替换默认值:
config.Formatters.RemoveAt(0);
config.Formatters.Insert(0, new SecureJsonMediaTypeFormatter());
现在您可以返回任何您希望的 IEnumerable,就像您最初所做的那样,即
[HttpGet]
public IEnumerable<MyValue> Values()
{
return db.MyValues.ToList();
}
并且SecureJsonMEdiaTypeFormatter将拦截它,并在result属性下包装一个匿名对象:
{
"result": [
{
"name": "Toronto Maple Leafs",
"league": "NHL"
},
{
"name": "Montreal Canadiens",
"league": "NHL"
}
]
}
于 2013-01-13T23:36:28.077 回答
3
您可以简单地将结果包装在一个对象中。
return new { values = db.MyValues.ToList() };
由于 JavaScript 对象不是有效脚本,因此可以防止结果被恶意执行,正如 Haack 在http://haacked.com/archive/2009/06/24/json-hijacking.aspx中解释的那样
于 2013-01-13T17:34:45.707 回答