При отправке / получении JSON в / из конечной точки Web API он автоматически преобразуется в / из объекта.
Если все строковые свойства объекта проверяются и анализируются, и убедитесь, что они не содержат теговчтобы сценарий каким-то образом не вставлялся в веб-страницу и, следовательно, выполнялся.
Лично я думаю, что отправленные / полученные данные JSON должны анализироваться на веб-клиенте, а не на веб-API, но я подумал, что спросил. Кажется, это слишком для выполнения этого на заднем конце.
Я уже некоторое время гуглял и ничего полезного не нашел.
Спасибо.