我有一个ApiController,其中的方法看起来像这样:
[HttpGet]
public IEnumerable<MyValue> Values()
{
return db.MyValues.ToList();
}
它返回一个JSON数组。我使用jQuery获取结果。如何防止该数组被劫持,类似于自动嵌套等问题?
我有一个ApiController,其中的方法看起来像这样:
[HttpGet]
public IEnumerable<MyValue> Values()
{
return db.MyValues.ToList();
}
public class SecureJsonMediaTypeFormatter : JsonMediaTypeFormatter
{
public override System.Threading.Tasks.Task WriteToStreamAsync(Type type, object value, System.IO.Stream writeStream, HttpContent content, TransportContext transportContext)
{
if ((typeof (IEnumerable).IsAssignableFrom(type)))
{
value = new {result = value};
}
return base.WriteToStreamAsync(type, value, writeStream, content, transportContext);
}
}
现在,在您的WebApiConfig中,将默认的JSonMediaTypeFormatter
替换为这个新的:
config.Formatters.RemoveAt(0);
config.Formatters.Insert(0, new SecureJsonMediaTypeFormatter());
[HttpGet]
public IEnumerable<MyValue> Values()
{
return db.MyValues.ToList();
}
而 SecureJsonMediaTypeFormatter
将会拦截它,并将其封装在一个匿名对象中,在 result
属性下:
{
"result": [
{
"name": "Toronto Maple Leafs",
"league": "NHL"
},
{
"name": "Montreal Canadiens",
"league": "NHL"
}
]
}
return new { values = db.MyValues.ToList() };