ASP.NET MVC return JSON 被掃出 Reflected_XSS_All_Clients 問題

2021-03-30

前言

在 ASP.NET MVC 的 Controller 之中如果是 return Json(viewModel); 的話，
Checkmarx 就會說它有 Reflected_XSS_All_Clients 的問題。
遇到 XSS 當然就是要 Encode 呀~
不過，物件那麼多的屬性，一個一個做嗎?
當然沒那麼笨呀!
網路上會改用 JsonNetResult 來取代原有的 JsonResult

解法

原本 HomeController 的程式如下，

public class HomeController : Controller
{
    // ... other codes .... 

    [HttpPost]
    public JsonResult About(ViewModel1 model)
    {
        return Json(model);
    }
}

Checkmarx 掃出來的結果如下，

因為要改用 JsonNetResult ，所以就建立一個 JsonNetResult Class，並設定 StringEscapeHandling.EscapeHtml，

public class JsonNetResult : JsonResult
{
	public JsonSerializerSettings SerializerSettings { get; set; }
	public Formatting Formatting { get; set; }
	public JsonNetResult()
	{
		SerializerSettings = new JsonSerializerSettings()
		{
			DateTimeZoneHandling = DateTimeZoneHandling.Local,
			StringEscapeHandling = StringEscapeHandling.EscapeHtml
		};
	}
	public override void ExecuteResult(ControllerContext context)
	{
		if (context == null)
			throw new ArgumentNullException("context");
		HttpResponseBase response = context.HttpContext.Response;
		response.ContentType =
			!string.IsNullOrEmpty(ContentType) ? ContentType : "application/json";
		if (ContentEncoding != null)
			response.ContentEncoding = ContentEncoding;
		if (Data != null)
		{
			JsonTextWriter writer = new JsonTextWriter(response.Output)
			{
				Formatting = Formatting
			};
			JsonSerializer serializer = JsonSerializer.Create(SerializerSettings);
			serializer.Serialize(writer, Data); writer.Flush();
		}
	}
}

因為原本的 Controller 是直接 return Json ，如果要在不更改原有的程式碼，可以建立 BaseController (或是你們原本就有自已的 BaseController) ，覆寫 Json Method ，如下，

public class BaseController : Controller
{
    /// <summary>
    /// 覆寫原有的 Json Method，改成使用新的 JsonNetResult (Json.Net)
    /// </summary>
    /// <param name="data"></param>
    /// <param name="contentType"></param>
    /// <param name="contentEncoding"></param>
    /// <param name="behavior"></param>
    /// <returns></returns>
    protected override JsonResult Json(object data, string contentType, System.Text.Encoding contentEncoding, JsonRequestBehavior behavior)
    {
        if (behavior == System.Web.Mvc.JsonRequestBehavior.DenyGet
            && string.Equals(this.Request.HttpMethod, "GET",
                                System.StringComparison.OrdinalIgnoreCase))
            //Call JsonResult to throw the same exception as JsonResult
            return new System.Web.Mvc.JsonResult();
        return new JsonNetResult()
        {
            Data = data,
            ContentType = contentType,
            ContentEncoding = contentEncoding
        };
    }

    //強迫覆蓋 base.Json (要讓 checkmarx v9.2 有關連，其實不需要強迫覆寫)
    protected new JsonResult Json(object data)
    {
        return Json(data, null, null, JsonRequestBehavior.DenyGet);
    }
}

然後原本的 Controller 將原本繼承的 Controller 改成 BaseController ，如下，

public class HomeController : BaseController
{
    // ... other codes .... 

    [HttpPost]
    public JsonResult About(ViewModel1 model)
    {
        return Json(model);
    }
}

註: 目前筆者這版的 Checkmarx V9.2 無法正確知道有覆寫 JsonResult Json(object data, string contentType, System.Text.Encoding contentEncoding, JsonRequestBehavior behavior) Method ，所以必需要強迫覆蓋 base.Json Method 。如果未來 Checkmarx 修正好了後，就可以不需要去強迫覆蓋 Json Method 了。

參考資料

ASP MVC 5 and Json.NET: action return type
Using JSON.NET to return ActionResult
Can you tell JSON.Net to serialize DateTime as Utc even if unspecified?

jsonContent: meta: false pages: false posts: title: true date: true path: true text: false raw: false content: false slug: false updated: false comments: false link: false permalink: false excerpt: false categories: false tags: true