Emitowanie niezakodowanych ciągów w widoku Razor

Question 1

Jak mówi ScottGu w swoim poście na blogu, „domyślnie treść emitowana przy użyciu bloku @ jest automatycznie kodowana w formacie HTML, aby lepiej chronić przed scenariuszami ataku XSS”. Moje pytanie brzmi: jak można wygenerować ciąg znaków inny niż HTML?

Ze względu na prostotę proszę trzymać się tego prostego przypadku:

@{
 var html = "<a href='#'>Click me</a>"
 // I want to emit the previous string as pure HTML code...
}

Question 2

To jest moje ulubione podejście:

@Html.Raw("<p>my paragraph text</p>")

Źródłem było odniesienie do składni Razor Phila Haacka: http://haacked.com/archive/2011/01/06/razor-syntax-quick-reference.aspx

Question 3

Możesz utworzyć nową instancję MvcHtmlString, która nie zostanie zakodowana w formacie HTML.

@{
  var html = MvcHtmlString.Create("<a href='#'>Click me</a>")
}

Miejmy nadzieję, że w przyszłości Razor będzie łatwiejszy sposób.

Jeśli nie używasz MVC, możesz spróbować tego:

@{
  var html = new HtmlString("<a href='#'>Click me</a>")
}

Question 4

new HtmlString jest zdecydowanie odpowiedzią.

Przyjrzeliśmy się innym zmianom w składni maszynki do golenia, ale ostatecznie żadna z nich nie była tak naprawdę krótsza niż nowy HtmlString.

Możemy jednak zawrzeć to w pomocniku. Możliwie...

@Html.Literal("<p>something</p>")

lub

@"<p>something</p>".AsHtml()

Question 5

Napotkałem ten problem również podczas przenoszenia naszego projektu do nowego silnika widoku Razor. Podejście, które obrałem, było nieco inne, ponieważ musieliśmy generować dane JSON z C # i chcieliśmy je wyprowadzić po załadowaniu strony.

Ostatecznie zaimplementowałem RawView, który był paralelą z View w plikach cshtml. Zasadniczo, aby uzyskać nieprzetworzony ciąg,

@(new HtmlString(View.Foo))

// became
@RawView.Foo

Wymaga to kilku zmian w układzie projektu, dlatego właśnie napisałem o tym tutaj wpis na blogu . Krótko mówiąc, wymagało to zduplikowanej implementacji DynamicViewDataDictionary MVC i nowego WebViewPage, który zawiera RawView. Poszedłem również do przodu i zaimplementowałem operator indeksu w RawView, aby umożliwić

@RawView["Foo"]

Nie ma szans, że ktoś będzie potrzebował pętli danych z listą kluczy.

Czytając komentarz Anurse, prawdopodobnie byłoby lepiej, gdybym nazwał to literałem zamiast RawView.

Question 6

Używam ASP.NET MVC i Razor w Mono.

Nie mogłem pobrać HtmlHelper z System.Web.WebPages z System.Web.Mvc z pewnych powodów.

Ale udało mi się wyprowadzić niezakodowany ciąg po zadeklarowaniu właściwości modelu jako RazorEngine.Text.RawString. Teraz wyprowadza zgodnie z oczekiwaniami.

Przykład

@{
    var txt = new RawString("some text with \"quotes\"");
    var txt2 = "some text with \"quotes\"";
}
<div>Here is unencoded text: @txt</div>
<div>Here is encoded text: @txt2</div>

Wynik:

<div>Here is unencoded text: some text with "quotes"</div>
<div>Here is encoded text: some text with &quot;quotes&quot;</div>

Answer 1

Jak mówi ScottGu w swoim poście na blogu, „domyślnie treść emitowana przy użyciu bloku @ jest automatycznie kodowana w formacie HTML, aby lepiej chronić przed scenariuszami ataku XSS”. Moje pytanie brzmi: jak można wygenerować ciąg znaków inny niż HTML?

Ze względu na prostotę proszę trzymać się tego prostego przypadku:

@{
 var html = "<a href='#'>Click me</a>"
 // I want to emit the previous string as pure HTML code...
}

Answer 2

To jest moje ulubione podejście:

@Html.Raw("<p>my paragraph text</p>")

Źródłem było odniesienie do składni Razor Phila Haacka: http://haacked.com/archive/2011/01/06/razor-syntax-quick-reference.aspx

Answer 3

17

Możesz utworzyć nową instancję MvcHtmlString, która nie zostanie zakodowana w formacie HTML.

@{
  var html = MvcHtmlString.Create("<a href='#'>Click me</a>")
}

Miejmy nadzieję, że w przyszłości Razor będzie łatwiejszy sposób.

Jeśli nie używasz MVC, możesz spróbować tego:

@{
  var html = new HtmlString("<a href='#'>Click me</a>")
}

aolde
źródło

2

Właściwie możesz używać również new HtmlString()w MVC 3, ponieważ ten typ to .NET 4.

marcind

W rzeczy samej! Jednak wpisując to wszystko w jednym wyrażeniu, bardziej mi się podoba MVC. Np. @ MvcHtmlString.Create (myString). Osobiste preferencje!

aolde

Answer 4

2

Właściwie możesz używać również new HtmlString()w MVC 3, ponieważ ten typ to .NET 4.

marcind

Answer 5

W rzeczy samej! Jednak wpisując to wszystko w jednym wyrażeniu, bardziej mi się podoba MVC. Np. @ MvcHtmlString.Create (myString). Osobiste preferencje!

aolde

Answer 6

6

new HtmlString jest zdecydowanie odpowiedzią.

Przyjrzeliśmy się innym zmianom w składni maszynki do golenia, ale ostatecznie żadna z nich nie była tak naprawdę krótsza niż nowy HtmlString.

Możemy jednak zawrzeć to w pomocniku. Możliwie...

@Html.Literal("<p>something</p>")

lub

@"<p>something</p>".AsHtml()

Erik Porter
źródło

1

Czy byłoby możliwe dodanie @ = myString jako sposobu na wyjście HTML? Może za dużo retrospekcji do

formularzy internetowych

2

Chcemy uniknąć dodawania konstrukcji składniowych, jeśli nie obejmują one dużego przypadku użytkownika. W większości przypadków będziesz używać metod pomocniczych do budowania ciągów, a IHtmlString działa tam doskonale. W nieparzystych przypadkach, w których musisz wyprowadzić ciąg znaków bez pomocy, możemy dostarczyć Ci metodę: @Literal (foo) lub podobną.

Andrew Stanton-Nurse

Answer 7

1

Czy byłoby możliwe dodanie @ = myString jako sposobu na wyjście HTML? Może za dużo retrospekcji do

formularzy internetowych

Answer 8

2

Chcemy uniknąć dodawania konstrukcji składniowych, jeśli nie obejmują one dużego przypadku użytkownika. W większości przypadków będziesz używać metod pomocniczych do budowania ciągów, a IHtmlString działa tam doskonale. W nieparzystych przypadkach, w których musisz wyprowadzić ciąg znaków bez pomocy, możemy dostarczyć Ci metodę: @Literal (foo) lub podobną.

Andrew Stanton-Nurse

Answer 9

Napotkałem ten problem również podczas przenoszenia naszego projektu do nowego silnika widoku Razor. Podejście, które obrałem, było nieco inne, ponieważ musieliśmy generować dane JSON z C # i chcieliśmy je wyprowadzić po załadowaniu strony.

Ostatecznie zaimplementowałem RawView, który był paralelą z View w plikach cshtml. Zasadniczo, aby uzyskać nieprzetworzony ciąg,

@(new HtmlString(View.Foo))

// became
@RawView.Foo

Wymaga to kilku zmian w układzie projektu, dlatego właśnie napisałem o tym tutaj wpis na blogu . Krótko mówiąc, wymagało to zduplikowanej implementacji DynamicViewDataDictionary MVC i nowego WebViewPage, który zawiera RawView. Poszedłem również do przodu i zaimplementowałem operator indeksu w RawView, aby umożliwić

@RawView["Foo"]

Nie ma szans, że ktoś będzie potrzebował pętli danych z listą kluczy.

Czytając komentarz Anurse, prawdopodobnie byłoby lepiej, gdybym nazwał to literałem zamiast RawView.

Answer 10

Używam ASP.NET MVC i Razor w Mono.

Nie mogłem pobrać HtmlHelper z System.Web.WebPages z System.Web.Mvc z pewnych powodów.

Ale udało mi się wyprowadzić niezakodowany ciąg po zadeklarowaniu właściwości modelu jako RazorEngine.Text.RawString. Teraz wyprowadza zgodnie z oczekiwaniami.

Przykład

@{
    var txt = new RawString("some text with \"quotes\"");
    var txt2 = "some text with \"quotes\"";
}
<div>Here is unencoded text: @txt</div>
<div>Here is encoded text: @txt2</div>

Wynik:

<div>Here is unencoded text: some text with "quotes"</div>
<div>Here is encoded text: some text with &quot;quotes&quot;</div>

Emitowanie niezakodowanych ciągów w widoku Razor

Odpowiedzi: