Как написать незакодированный Json для моего представления с помощью Razor?

Ответ 1

Вы делаете:

@Html.Raw(Json.Encode(Model.PotentialAttendees))

В версиях ранее Beta 2 вы сделали это так:

@(new HtmlString(Json.Encode(Model.PotentialAttendees)))

Ответ 2

Newtonsoft JsonConvert.SerializeObject не ведет себя так же, как Json.Encode и делает то, что предлагает @david-k-egghead, открывает вам до атак XSS.

Отбросьте этот код в представление Razor, чтобы убедиться, что использование Json.Encode является безопасным и что Newtonsoft можно сделать безопасным в контексте JavaScript, но не без дополнительной работы.

<script>
    var jsonEncodePotentialAttendees = @Html.Raw(Json.Encode(
        new[] { new { Name = "Samuel Jack</script><script>alert('jsonEncodePotentialAttendees failed XSS test')</script>" } }
    ));
    alert('jsonEncodePotentialAttendees passed XSS test: ' + jsonEncodePotentialAttendees[0].Name);
</script>
<script>
    var safeNewtonsoftPotentialAttendees = JSON.parse(@Html.Raw(HttpUtility.JavaScriptStringEncode(JsonConvert.SerializeObject(
        new[] { new { Name = "Samuel Jack</script><script>alert('safeNewtonsoftPotentialAttendees failed XSS test')</script>" } }), addDoubleQuotes: true)));
    alert('safeNewtonsoftPotentialAttendees passed XSS test: ' + safeNewtonsoftPotentialAttendees[0].Name);
</script>
<script>
    var unsafeNewtonsoftPotentialAttendees = @Html.Raw(JsonConvert.SerializeObject(
        new[] { new { Name = "Samuel Jack</script><script>alert('unsafeNewtonsoftPotentialAttendees failed XSS test')</script>" } }));
    alert('unsafeNewtonsoftPotentialAttendees passed XSS test: ' + unsafeNewtonsoftPotentialAttendees[0].Name);
</script>

См. также:

• Должен ли быть обработан вывод JsonConvert.SerializeObject в режиме Razor?
• Правила предотвращения XSS

Ответ 3

Использование Newtonsoft

<script type="text/jscript">
  var potentialAttendees  = @(Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.PotentialAttendees)))
</script>