.net Framework: предотвращение нарушения xss при добавлении кода JavaScript в атрибуты тега html. - PullRequest
0 голосов
/ 12 октября 2019

Мне нужно сгенерировать некоторый динамический код JavaScript на сервере и передать его в атрибуте html-тега, например, onclick.

Например, мой код JavaScript может быть таким Script = "var x = 'что-то из ненадежного источника'; "

И тогда я должен более или менее передать его в виде mvc таким образом.

Глядя на документы owasp, кажется, что смешивание контекстов безопасности может легко привести к проблемам с xss. Итак, как вы предлагаете правильно решить эту проблему? Существуют ли какие-нибудь помощники, которые могут гарантировать правильное кодирование сценария.

Примечание: в целом я считаю, что передача кода Js с сервера - это плохая практика, и его следует преобразовать в код js, который подписывается на событияДОМ. К сожалению, у нас есть огромная старая кодовая база, которая использует массово встроенные обработчики событий. На данный момент я не уверен, что у меня есть время для преобразования всех этих шаблонов.

Заранее спасибо.

Добро пожаловать на сайт PullRequest, где вы можете задавать вопросы и получать ответы от других членов сообщества.
...