私はAngularJSフロントエンドを持つ.NETバックエンドを持っています。 それはすべての作品は、ユーザがデータをJSONとして、私のバックエンドのエンコードされていないために、私は、データベースに入力したテキストを保存、送信されJsonをバックエンドからAngularJsにエンコードする必要がありますか?
<script>alert('xss');</script>
として彼の名前を入力したときに(何のJavaScriptが実行されていない)、およびテキストを送信しますJsonのように、データが読み込まれるときにフロントエンドにコード化されて戻されません。
このようにすべて動作しますが、セキュリティプロセスを見て、Jsonをエンコードするようにアドバイスしました。
私の場合、私はJsonをより良くエンコードすべきですか?保存と読み込み時に
これは、JSONの一部です:
,"aanvragernaam":"<script>alert('xss');</script>","
これはjavascript injectionです。ドキュメント( 'document.write')に書き込むことができない限り、あなたはOKです** **とにかくJSONの使用を強くお勧めします。 –
OK、私は本当に明確に指定していません、私は既にJsonを使用しています(それを指定するために質問を編集しました) – Michel
実際にデータをサーバーに投稿する前に入力を消毒することができます。 –