JavaScript.netのテキストボックスにASP.net変数の値を取得する方法

Question

ASP.netページ用のJavaScriptコードをいくつか書いています。

文字列変数「myString」に「foo」という文字列が割り当てられています。

私はJavaScriptの変数にmyStringの値を代入したいと思いますので、私は私のASP.netのコードで書く：これは、引用符が含まれていない限りmyStringとして正常に動作します

<script type='txt/javascript' language='javascript'> 
    var stringFromDotNet = '<%=myString%>'; 
</script> 

またはライン - 引用符や改行で何かを割り当てようとすると、すべての地獄が壊れてしまい、コードが機能しなくなります。実際、このコードはすべての種類の注入攻撃に対して脆弱であることがわかります。

だから私はmyStringの値をJavaScriptの変数に代入すればいいのですか？

更新：私は、ASP：隠しフィールドだけでページを作成しようとしました。内部の値がhtmlエンコードされているようです。

Answer 1

：

<script type="text/javascript"> 
    var stringFromDotNet = <%= new JavaScriptSerializer().Serialize(myString) %>; 
</script> 

このアプローチも、あなたは、複雑なオブジェクトを渡すことができなく単なる文字列：

<script type="text/javascript"> 
    var complexObjectFromDotNet = <%= new JavaScriptSerializer().Serialize(new { id = 123, name = "foo\"' <bar>" }) %>; 
    alert(complexObjectFromDotNet.name); 
</script> 

Answer 2

私はこれが答えを探しているかもしれないと思う：http://www.velocityreviews.com/forums/t70655-escape-function-in-asp-net.html#edit352659。基本的には、サーバー側で値をエンコードおよびJavaScriptでそれをunencode：

var stringFromDotNet = decodeURI(<%=Server.URLEncode(myString)%>); 

これは、引用符やその他の危険な文字は、スクリプトを壊さないことを確認、または攻撃ベクトルを開きます。

Answer 3

はあなたがそう

var stringFromDotNet = "<%=myString%>"; 

のように二重引用符を使用してjsの変数を割り当てることができますいずれか、またはあなたは、単一引用符をエスケープし、リテラルで改行を置き換えることができます「\ rを\ n」は、サーバ側での文字列インチ

あなたが JavaScriptSerializerを使用することができますし、それはXSSに対して安全であることが保証されます