如何使用StreamWriter逐字寫入轉義字符（無需轉義）？

Question

我正在編寫一個實用程序，它接收.resx文件並創建一個JavaScript對象，其中包含.resx文件中所有名稱/值對的屬性。這一切都很好，直到.resx中的一個值爲

此經銷商接受電子訂單。

/r/n點擊訂購該經銷商的{0}。

我添加的名稱/值對的JS對象是這樣的：

streamWriter.Write(string.Format("\n{0} : \"{1}\"", kvp.Key, kvp.Value)); 

當kvp.Value =「該經銷商接受電子orders./r/nClick從這個{0}訂購經銷商「。

這會導致StreamWriter.Write（）實際在「訂單」之間放置換行符。和'點擊'，這自然搞砸了我的JavaScript輸出。

我已經嘗試了不同的事情@和沒有使用string.Format，但我沒有運氣。有什麼建議麼？

編輯：此應用程序在構建期間運行以獲得稍後部署的一些javascript文件，因此除了應用程序開發人員之外，任何人都無法訪問/運行此應用程序。所以，雖然我明顯需要一種逃避角色的方式，但XSS本身並不是一個真正值得關注的問題。

Answer 1

當你看到這段代碼時，你的問題已經發生了。 String.Format不會將替換字符串（{0}等）中的文字\n和\r「擴展」爲換行符和CR，因此它必定發生在某個更早的時間點，可能在讀取.resx文件時發生。

您有兩種可能的解決方案。一，當你在評論DonaldRay的答案發現，是明確地扭轉這種替換，並用兩個字符\n替換文字換行：

kvp.Value.Replace("\r",  // <-- replaced by the C# compiler with a literal CR character 
        "\\r"); // <-- "\\" replaced by the C# compiler with a single "\", 
          // leaving the two-char string "\r" 

您需要爲可能出現在每一個字符做同樣的你的琴絃。 \ n和\ r是最常見的，然後\ t（tab）;這對大多數開發工具來說可能就足夠了。

string formatted = kvp.Value.Replace("\r", "\\r") 
          .Replace("\n", "\\n") 
          .Replace("\t", "\\t"); 

或者，你可以看看上游的.resx文件讀取代碼，並設法找到並刪除了明確擴大這些字符序列的部分。如果可能的話，這將是更好的通用解決方案。

Answer 2

您需要使用微軟的Anti-XSS Library轉義字符串。

Answer 3

只是逃避反斜槓。

kvp.Value = kvp.Value.Replace(@"\", @"\\");

您可能需要這樣當您從RESX文件中讀取。