Я пишу код Javascript для страницы ASP.net.Как получить значение переменной ASP.net в текстовое поле javascript
У меня есть строка «foo», назначенная строковой переменной myString
.
Я хотел бы присвоить значение myString
переменной JavaScript, так что я пишу в своем ASP.net код:
<script type='txt/javascript' language='javascript'>
var stringFromDotNet = '<%=myString%>';
</script>
Это прекрасно работает, пока myString
не содержит кавычки или линия- но как только я попытаюсь присвоить что-то с кавычками или перерывами, все ад сломается, и мой код не работает. На самом деле, я вижу, что этот код уязвим для всех видов инъекционных атак.
Итак ... Что я могу получить, значение myString
, присвоенное переменной в JavaScript?
Обновление: Я пробовал создать страницу с помощью только ASP: Скрытого поля. Похоже, что значения внутри html кодируются.
Это не работает потому что тогда мой пользователь не может использовать двойные кавычки, и я все еще широко открыт для атаки. – 2010-11-29 22:00:17
Вам придется избегать цитат. Если вы назначаете переменную js с помощью двойных кавычек, вам придется избегать двойных кавычек в вашей строке. На вас не влияют пользователи. Вы должны избегать строки во время присвоения значения myString. – 2010-11-29 22:02:25