web-dev-qa-db-ja.com

モデルがJson.Netでシリアル化されると、文字列を自動的にHtmlEncodeします。

モデルがシリアル化されたときにHtmlEncode(myString)のようなすべての文字列を自動的にエンコードするようにJson.Netを構成する方法はありますか?

c#serializationjson.nethtml-encode
7
Buda Gavril

逆シリアル化中に文字列内のHTMLを選択的にエスケープする のソリューションと同様のソリューションを使用できますが、いくつかの小さな変更があります。

  1. HtmlEncodingValueProviderを変更してGetValueではなくSetValueのエンコードを適用します(逆シリアル化ではなくシリアル化でエンコードを実行するようにします)。
  2. 属性を探すのではなく、すべての文字列プロパティに値プロバイダーを適用するようにリゾルバーを変更します。

結果のコードは次のようになります。

public class CustomResolver : DefaultContractResolver
{
    protected override IList<JsonProperty> CreateProperties(Type type, MemberSerialization memberSerialization)
    {
        IList<JsonProperty> props = base.CreateProperties(type, memberSerialization);

        // Attach an HtmlEncodingValueProvider instance to all string properties
        foreach (JsonProperty prop in props.Where(p => p.PropertyType == typeof(string)))
        {
            PropertyInfo pi = type.GetProperty(prop.UnderlyingName);
            if (pi != null)
            {
                prop.ValueProvider = new HtmlEncodingValueProvider(pi);
            }
        }

        return props;
    }

    protected class HtmlEncodingValueProvider : IValueProvider
    {
        PropertyInfo targetProperty;

        public HtmlEncodingValueProvider(PropertyInfo targetProperty)
        {
            this.targetProperty = targetProperty;
        }

        // SetValue gets called by Json.Net during deserialization.
        // The value parameter has the original value read from the JSON;
        // target is the object on which to set the value.
        public void SetValue(object target, object value)
        {
            targetProperty.SetValue(target, (string)value);
        }

        // GetValue is called by Json.Net during serialization.
        // The target parameter has the object from which to read the string;
        // the return value is the string that gets written to the JSON
        public object GetValue(object target)
        {
            string value = (string)targetProperty.GetValue(target);
            return System.Web.HttpUtility.HtmlEncode(value);
        }
    }
}

次のようにカスタムContractResolverを使用します。

var settings = new JsonSerializerSettings
{
    ContractResolver = new CustomResolver(),
    Formatting = Formatting.Indented
};

string json = JsonConvert.SerializeObject(your_object, settings);

フィドル: https://dotnetfiddle.net/RhFlk8

6
Brian Rogers

これを試して:

var json = JObject.Parse("{'Name':'<script>alert(1);</script>'}");
var serializerSettings = new JsonSerializerSettings()
{
    StringEscapeHandling = StringEscapeHandling.EscapeHtml
};
var result = JsonConvert.SerializeObject(json, serializerSettings);

結果は次のようになります。

{"Name":"\u003cscript\u003ealert(1);\u003c/script\u003e"}
6
Mohammad Nikravan

私はこれを行う非常に簡単な方法を見つけました(WebAPI2)。

オブジェクトのプロパティを設定するときは、以下でエンコードするだけです。

myObject.encoded_field = HttpUtility.HtmlEncode(your_html_content)

0
BenW