Мне нужно сгенерировать некоторый динамический код JavaScript на сервере и передать его в атрибуте html-тега, например, onclick.
Например, мой код JavaScript может быть таким Script = "var x = 'что-то из ненадежного источника'; "
И тогда я должен более или менее передать его в виде mvc таким образом.
Глядя на документы owasp, кажется, что смешивание контекстов безопасности может легко привести к проблемам с xss. Итак, как вы предлагаете правильно решить эту проблему? Существуют ли какие-нибудь помощники, которые могут гарантировать правильное кодирование сценария.
Примечание: в целом я считаю, что передача кода Js с сервера - это плохая практика, и его следует преобразовать в код js, который подписывается на событияДОМ. К сожалению, у нас есть огромная старая кодовая база, которая использует массово встроенные обработчики событий. На данный момент я не уверен, что у меня есть время для преобразования всех этих шаблонов.
Заранее спасибо.