Question

В ASP.NET 4 мы можем использовать новый оператор <%: ... %> для вывода строк в кодировке HTML.Можно ли настроить ASP.NET 4 (в web.config), чтобы оператор <%= ... %> также кодировал строки HTML?

SLaks · Answer 1 · 04 августа 2010

Нет, к счастью.

Если вы настроите его таким образом, ваши разработчики привыкнут использовать <%= ... %>, а не кодировать.

Если они впоследствии будут работать по другому (нормального) проекта, они в конечном итоге забудут закодировать свои выходные данные.

ASP.Net Razor по умолчанию использует кодировку HTML, поскольку у него нет этой проблемы.
(Тамэто не код Razor, который можно переключить на код по умолчанию)

Steven · Answer 2 · 04 августа 2010

Лично мне не нравится этот новый синтаксис <%:. Я скорее использую <%= HttpUtility.HtmlEncode(, потому что это намного более явно.

Кроме того, он дает ложное чувство безопасности, потому что он выполняет только кодирование HTML. Посмотрите на этот фрагмент, например:

function myJavaScriptFunction()
{
    var message = '<%: Person.LastComment %>';
    alert(message);
}

Это не сохранение, потому что оно не использует правильную кодировку. Следующее безопасно:

function myJavaScriptFunction()
{
    var message = '<%: AntiXss.JavaScriptEncode(Person.LastComment) %>';
    alert(message);
}

Гораздо точнее.

Можно ли включить кодировку HTML по умолчанию в ASP.NET 4?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Можно ли включить кодировку HTML по умолчанию в ASP.NET 4?

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 2 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы