博客讨论了在MVC应用中如何防止跨站点脚本攻击(XSS)。作者通过一个使用JQUERY AJAX提交表单的示例,提出需要对服务器返回的JSON响应中的HTML内容进行编码,特别是`item.Message`字段。他们寻求解决方案来正确地编码这个值,以确保安全显示在页面上。示例代码展示了如何处理AJAX成功回调中的响应数据。
这个问题之前已经被问到过,但我必须意识到,我没有找到真正的/最好的方式来做到这一点!MVC,JQUERY,AJAX,HTML编码JSON响应
问题是,我想编码从AJAX调用中获得的响应,以防止跨站点脚本攻击(XSS)攻击。我有一个带有文本框和提交按钮的表单。提交时,该值将发布到服务器并返回给客户端。在这里,我需要对html响应进行编码,如可能是“alert('Hello')”等。
如何编码item.Message以下内容?
查看
$(document).ready(function() {
$("form[action$='SubmitChatMessage']").submit(function() {
$.ajax({
url: $(this).attr("action"),
type: "post",
dataType: "json",
data: $(this).serialize(),
success: function (response) {
$("#chatMessages").empty();
var chatMessages = "";
$.each(response, function (i, item) {
chatMessages += '
});
$("#chatMessages").html(chatMessages);
$("#message").val(''); // Clear the textbox value
}
});
return false;
});
});
{%>
控制器动作
[HttpPost]
[ValidateInput(false)]
public JsonResult SubmitChatMessage(string message, Guid productID)
{
// 1. Store message in db
// 2. Fetch messages from db
List chats = DB.GetMessages(productID);
var json = (from c in chats
select new {Message = c.Message, CreatedDate = c.Created});
return Json(json);
}
希望得到的答案,这是推动我疯了! 类似的问题被给出here,但我不能看到如何在我的情况下使用.text。
2011-07-22
Nima
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
