ASP.NET-某些代码反映了安全性XSS问题

我在这里工作，他们使用一个名为checkmarx的应用程序来分析该应用程序的安全性

在其中一项分析中，应用程序检测到以下问题：

反映了XSS所有客户端：

应用程序的GetBarcosNaoVinculados将不受信任的数据嵌入到 使用Json生成的输出，位于第1243行 ... /控制器/AdminUserController.cs。此不受信任的数据是 直接嵌入到输出中，而没有适当的消毒或 编码，使攻击者能够将恶意代码注入到 输出。攻击者可以通过以下方式更改返回的网页 只需在用户inputusuarioId中提供修改后的数据，即 由GetBarcosNaoVinculados方法在第1243行读取 ... /控制器/AdminUserController.cs。然后此输入流经 直接将代码直接输出到输出网页，而无需清理。

public JsonResult GetBarcosNaoVinculados(string usuarioId)              
.....
.....
 return Json(barcosNaoVinculados,JsonRequestBehavior.AllowGet)

在系统中的其他地方，使用这两种方法都会遇到相同的问题

应用程序的LoadCodeRve将不可信数据嵌入生成的 在第738行的SerializeObject输出 ... / BR.Rve.UI.Site/Controllers/InfoApontamentoController.cs。这个 不受信任的数据直接嵌入到输出中，而没有适当的 清理或编码，使攻击者能够注入恶意软件 代码输入到输出中，攻击者将能够更改返回的内容 通过提前将恶意数据保存在数据存储中来创建网页。的 然后，Buscar从数据库中读取攻击者的修改数据 在... / Repository / Repository.cs的第78行使用Where的方法。这个 然后，不受信任的数据直接通过代码流到输出Web 页面，无需消毒。

public virtual IEnumerable<TEntity> Buscar(Expression<Func<TEntity,bool>>predicate)
   return Dbset.Where(predicate);

public string LoadCodeRve()
  return JsonConvert.SerializeObject(items);

似乎与JSON格式的处理有关，有人知道如何处理此类问题吗？

解决方法

const now = moment()
// -> moment format is not compatible until converted toDate
const oneWeekFromNow = now.add(1,'week').toDate()
const update = {
  endDate: oneWeekFromNow
}

return Json(barcosNaoVinculados,JsonRequestBehavior.AllowGet)

return JsonConvert.SerializeObject(items);

return JsonConvert.SerializeObject(items,new JsonSerializerSettings { StringEscapeHandling = StringEscapeHandling.EscapeHtml });