Как получить значение переменной ASP.net в текстовое поле javascript

Question

Я пишу код Javascript для страницы ASP.net.

У меня есть строка «foo», назначенная строковой переменной myString.

Я хотел бы присвоить значение myString переменной JavaScript, так что я пишу в своем ASP.net код:

<script type='txt/javascript' language='javascript'> 
    var stringFromDotNet = '<%=myString%>'; 
</script> 

Это прекрасно работает, пока myString не содержит кавычки или линия- но как только я попытаюсь присвоить что-то с кавычками или перерывами, все ад сломается, и мой код не работает. На самом деле, я вижу, что этот код уязвим для всех видов инъекционных атак.

Итак ... Что я могу получить, значение myString, присвоенное переменной в JavaScript?

Обновление: Я пробовал создать страницу с помощью только ASP: Скрытого поля. Похоже, что значения внутри html кодируются.

Answer 1

Вы можете использовать JavaScriptSerializer и гарантированно безопасна против XSS:

<script type="text/javascript"> 
    var stringFromDotNet = <%= new JavaScriptSerializer().Serialize(myString) %>; 
</script> 

Этот подход также позволяет передавать сложные объекты, а не только простые строки:

<script type="text/javascript"> 
    var complexObjectFromDotNet = <%= new JavaScriptSerializer().Serialize(new { id = 123, name = "foo\"' <bar>" }) %>; 
    alert(complexObjectFromDotNet.name); 
</script> 

Answer 2

Я думаю, что это может быть ответ, который ищет: http://www.velocityreviews.com/forums/t70655-escape-function-in-asp-net.html#edit352659. В основном, закодировать значение на стороне сервера и unencode его с JavaScript:

var stringFromDotNet = decodeURI(<%=Server.URLEncode(myString)%>); 

Это гарантирует, что котировки и другие опасные символы не нарушат ваш скрипт, или открыть векторы атаки.

Answer 3

Вы можете либо назначить переменную JS, используя двойные кавычки, как так

var stringFromDotNet = "<%=myString%>"; 

Или вы могли бы избежать одинарные кавычки и заменить разрывы строк с буквальным «\ г \ п» в строке на стороне сервера.