Function return string 被掃出 Reflected_XSS_All_Clients 問題

前言

我們有系統是從 DB 讀取資料放到 DataTable 之中,再透過 JsonConvert.SerializeObject 將字串傳出去,如下,

1
2
3
4
5
6
7
8
9
public string Post([FromBody] string value)
{
    var dt = new DataTable("dbInfo");
    dt.Columns.Add("c1", typeof(string));
    dt.Columns.Add("c2", typeof(string));
    dt.Rows.Add(new string[] { value, "c2-1" });
    dt.Rows.Add(new string[] { "c1-2", value });
    return JsonConvert.SerializeObject(dt);
}

解法

那就參考 ASP.NET MVC return JSON 被掃出 Reflected_XSS_All_Clients 問題這篇的設定方式,在 JsonConvert.SerializeObject 中,加入 JsonSerializerSettings 的設定值就可以了,如下,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
public string Post([FromBody] string value)
{
    var dt = new DataTable("dbInfo");
    dt.Columns.Add("c1", typeof(string));
    dt.Columns.Add("c2", typeof(string));
    dt.Rows.Add(new string[] { value, "c2-1" });
    dt.Rows.Add(new string[] { "c1-2", value });
    var jsSettings = new JsonSerializerSettings()
    {
        DateTimeZoneHandling = DateTimeZoneHandling.Local,
        StringEscapeHandling = StringEscapeHandling.EscapeHtml
    };
    return JsonConvert.SerializeObject(dt, jsSettings);
}

參考資源

ASP.NET MVC return JSON 被掃出 Reflected_XSS_All_Clients 問題

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

大家好,我是亂馬客 Rainmaker,目前任職於叡揚資訊,大家也都叫我 RM 。 平常負責開發公司各產品線的加值、共用的軟體,例如 Azure, OpenAI, Chatbot, Database ... 同時 Support 公司各種技術及資安修改問題。 Blog中的內容也是個人的看法, 如果有需要討論的地方, 可以留言,或是 mail 給我 :) rainmaker_ho@gss.com.tw