使用Json.NET
JsonConvert.SerializeObject(new { Property = "<script>alert('o hai');</script>" })
返回
{"Property":"<script>alert('o hai');</script>"}
是否有可能由SerializeObject转义该值以防止恶意脚本执行?我不想更改对象本身。
理想情况下,我想整合到SerializeObject调用消毒,而不必处理对象之前或之后的SerializeObject。
从JsonConvert.SerializeObject
脚本块输出的字符串被分配到一个全局变量,我相信这是XSS的问题。
相似问题