在哪里可以找到 JSON ajax 返回类型所需的转义字符列表？

Question

我有一个返回 JSON 对象的 ASP.NET MVC 操作。

JSON：

{status: "1", message:"", output:"<div class="c1"><div class="c2">User generated text, so can be anything</div></div>"}

目前我的 HTML 正在破坏它。输出字段中会有用户生成的文本，所以我必须确保我转义了所有需要转义的内容。

有人列出了我需要逃避的所有事情吗？

我没有使用任何 JSON 库，只是自己构建字符串。

Answer 1

马上，我可以说，至少 HTML 标签中的双引号会是一个问题。这些可能是您需要转义才能使其成为有效 JSON 的全部内容；直接替换

"

与

\"

至于输出用户输入的文本，您确实需要确保通过 HttpUtility.HtmlEncode() 运行它以避免XSS attacks 并确保它不会破坏您的页面格式。

Answer 2

以下是在为 JSON 创建字符串文字时可以转义的特殊字符列表：

\b 退格（ASCII 代码 08） \f 换页（ASCII 代码 0C） \n 换行 \r 回车 \t 制表符 \v 垂直制表符 \' 撇号或单引号 \" 双引号 \\ 反斜杠字符

参考：String literals

其中一些比其他的更可选。例如，无论您是转义制表符还是保留制表符文字，您的字符串都应该是完全有效的。不过，您当然应该处理反斜杠和引号字符。

Answer 3

看看http://json.org/。它声称的转义字符列表与 Chris 提议的有所不同。

\"
\\
\/
\b
\f
\n
\r
\t
\u four-hex-digits

Answer 4

JSON 参考说明：

任何 Unicode 字符- 除了-"-or-\\-or- 控制字符

然后列出标准转义码：

\" 标准 JSON 引用 \\ 反斜杠（转义字符） \/ 正斜杠 \b 退格（ascii 代码 08） \f 换页（ascii 代码 0C） \n 换行 \r 回车 \t 水平制表符 \u 四位十六进制数字

据此，我假设我需要转义所有列出的，而所有其他的都是可选的。如果您愿意，您可以选择将所有字符编码为\uXXXX，或者您只能使用任何不可打印的 7 位 ASCII 字符或 Unicode 值不在\u0020 <= x <= \u007E 范围(32 - 126) 中的字符。最好先使用标准字符以获得更短的转义码，从而提高可读性和性能。

此外，您还可以从RFC 4627 读取第 2.5 点（字符串）。

您可能（或可能不）想要（进一步）转义其他字符，具体取决于您嵌入 JSON 字符串的位置，但这超出了本问题的范围。

Answer 5

来自spec：

除必须转义的字符外，所有字符都可以放在引号内：引号 (U+0022)、反斜线 [反斜杠] (U+005C) 和控制字符 U+0000 到 U+ 001F

只是因为例如Bell (U+0007) 没有单字符转义码并不意味着您不需要转义它。使用 Unicode 转义序列\u0007。

Answer 6

正如官方 ECMA 规范第 9 节所述 (http://www.ecma-international.org/publications/files/ECMA-ST/ECMA-404.pdf) 在 JSON 中，必须转义以下字符：

• U+0022（"，引号）
• U+005C（\，反斜杠或反斜线）
• U+0000 到 U+001F（ASCII 控制字符）

此外，为了在 HTML 中安全地嵌入 JSON，还必须对以下字符进行转义：

• U+002F (/)
• U+0027 (')
• U+003C (<)
• U+003E (>)
• U+0026 (&)
• U+0085（下一行）
• U+2028（行分隔符）
• U+2029（段落分隔符）

上面的某些字符可以使用标准中定义的以下短转义序列进行转义：

• \" 代表引号字符（U+0022）。
• \\ 代表反斜线字符 (U+005C)。
• \/ 表示斜线字符 (U+002F)。
• \b 表示退格字符 (U+0008)。
• \f 代表换页符 (U+000C)。
• \n 代表换行符 (U+000A)。
• \r 代表回车符（U+000D）。
• \t 表示字符制表符（U+0009）。

其他需要转义的字符将使用\uXXXX 表示法，即\u 后跟四个编码代码点的十六进制数字。

\uXXXX 也可以用来代替短转义序列，或者选择性地从基本多语言平面 (BMP) 中转义任何其他字符。