Что делает новый синтаксис кодирования <%:%> в Visual Studio 2010?

Question

В последней записи Скотта Хансельмана о новых функциях VS 2010 упоминается «новый синтаксис кодирования <%:%>». Что оно делает? Поиск этих тегов в Google не представляется возможным ...

Спасибо

Адриан

Answer 1

Выводит HTML с закодированными объектами. Это короткая рука для

<%= HttpUtility.HtmlEncode("Some string") %>

Кроме того, его можно расширить, добавив к нему более крутые вещи, например, защиту вывода от XSS, как продемонстрировал Фил Хаак .

Фил Хаак , Скотт Гатри и Скотт Хансельман широко обсуждали новые и улучшенные функции в .NET 4.

Answer 2

Он автоматически закодирует HTML-код во вложенном выражении.

Итак ...

<%: yourString %>

... эквивалентно ...

<%= HttpUtility.HtmlEncode(yourString) %>

См. Следующую ссылку MSDN для получения дополнительной информации:

• Выражения кодированного HTML-кода

Answer 3

На самом деле этот поиск в Google привел меня к этому объяснению Скотта Гатри .

Answer 4

Я думаю, что это гарантирует, что текст, содержащийся внутри, дезинфицируется, так что сценарий Java не может быть введен на страницу

так что если у вас есть

userdata = alert ("textstring")

<%= userdata %>

покажет окно сообщения на странице

<%: userdata %>

покажет текст «alert (« texttring »)»

Answer 5

Его цель - помочь предотвратить атаки XSS с помощью кодирования HTML.