Ich habe ein .NET-Backend mit einem AngularJS-Frontend. alles funktioniert (kein JavaScript ausgeführt wird), wenn ein Benutzer seinen Namen eingibt alsSollte ich meinen Json vom Backend zu AngularJs kodieren?
<script>alert('xss');</script>
Die Daten gesendet wird, als Json zu meinem Backend nicht codiert, ich den Text speichern als in der Datenbank eingegeben, und den Text senden , wie Json, beim Lesen der Daten zurück zum Frontend.
Das alles funktioniert wie gesagt, aber einen Sicherheitskurs zu beobachten rieten sie, den Json zu kodieren.
In meinem Fall sollte ich besser meinen Json codieren?
Dies ist ein Teil der Json beim Speichern und Laden:
,"aanvragernaam":"<script>alert('xss');</script>","
Dies ist Javascript-Injektion.Solange Sie nicht in das Dokument schreiben ('document.write') sollten Sie in Ordnung sein ** aber ** Ich empfehle JSON trotzdem. –
Ok, ich habe das nicht wirklich klar angegeben, ich benutze bereits Json (ich habe die Frage bearbeitet, um das zu spezifizieren) – Michel
Sie könnten die Eingabe bereinigen, bevor Sie tatsächlich Daten auf dem Server veröffentlichen. –