[MVC] 使用 Html.Raw 從Model 產出 JSON 字串

-
Checkmarx 弱點:Reflected XSS All Clients
該元素的值於程式流程中沒有被正確地過濾(Filter)或驗證,並最終顯示於使用者端方法DisplayDetails()這可能為跨站腳本(Cross-Site-Scripting)攻擊
一般在輸出網頁時內嵌 JSON 轉成 JavaScript

<script>

        var DataItem = 
        @Html.Raw(Newtonsoft.Json.JsonConvert.SerializeObject(Model.DataItem));

</script>
但如果model 裡有含html字串,會導致XSS 風險
宣告產出如下: 

<script>
    var DataItem = @Html.Raw(

                  Newtonsoft.Json.JsonConvert.SerializeObject(Model.DataItem,

                  new Newtonsoft.Json.JsonSerializerSettings

                  {
                      StringEscapeHandling = Newtonsoft.Json.StringEscapeHandling.EscapeHtml


                  }));
</script>

  


JsonConvert.DefaultSettings = () => new JsonSerializerSettings 

{ 
    StringEscapeHandling = Newtonsoft.Json.StringEscapeHandling.EscapeHtml

};

留言

張貼留言

這個網誌中的熱門文章

net use 系統發生 1219 錯誤

-
使用 net use 功能連結 net use X: \\ServerIP\backupdata\ /user:backup xxxxxx 返回結果: 系統發生 1219 錯誤。 但先前並沒有連線 請先使用查詢功能 C:\>net use 可以發現其實有連到ipc$ 只要執行: net use \\ServerIP /del 將該連線刪除即可連線
閱讀完整內容

[MS SQL]資料庫複寫 刪除發行集 無法刪除

-
刪除語法: DECLARE @publicationDB AS sysname; DECLARE @publication AS sysname; SET @publicationDB = N'IOEWEBSR1'; SET @publication = N'IOE'; -- Remove a transactional publication. --USE [AdventureWorks2008R2] EXEC sp_droppublication @publication = @publication; -- Remove replication objects from the database. USE [master] EXEC sp_replicationdboption   @dbname = @publicationDB,   @optname = N'publish',   @value = N'false'; GO 參考:http://msdn.microsoft.com/zh-tw/library/ms147833.aspx 如果遇到"無法刪除發行集"的狀況 刪除發行集發生主體dbo不存在 解決方法 (1).先停用 SQL Server Agent ,再按右鍵刪除 (2). 方法一: ALTER AUTHORIZATION ON DATABASE::[輸入出問題的資料庫名稱] TO [資料庫管理員帳號] 方法二: USE [出問題的資料庫名稱] GO EXEC sp_changedbowner '資料庫管理員帳號'  GO http://msdn.microsoft.com/zh-tw/library/ms178630.aspx
閱讀完整內容

[Windows]密碼複雜性需求 停用密碼複雜度

-
圖片
「適用:Windows 2008 Server、window 7、windows 8」 密碼必須符合複雜性需求 如果啟用了此原則,則密碼必須符合下列最小需求: 不包含使用者的帳戶名稱全名中,超過兩個以上的連續字元 長度至少為 6 個字元 包含下列四種字元中的三種: 英文大寫字元 (A 到 Z) 英文小寫字元 (a 到 z) 10 進位數字 (0 到 9) 非英文字母字元 (例如: !、$、#、%) 建立或變更密碼時會強制執行複雜性需求。 如果要停用密碼複雜度 方法一 -------------------------------------------------------------------------------------------------- .在搜尋程式的地方輸入   secpol.msc  .選擇:帳戶原則   .選擇:密碼原則
閱讀完整內容