Запись / вывод HTML-строк без экранирования

Question

Запись / вывод HTML-строк без экранирования

У меня есть безопасный / продезинфицированный HTML, сохраненный в таблице БД.

Как я могу записать этот HTML-контент в виде Razor?

Всегда избегает таких символов, как < и амперсанды &,

461

asp.net-mvc asp.net-mvc-3 razor

Источник

user520640 25 ноя '10 в 23:05

6 ответов

Другие вопросы по тегам asp.net-mvc asp.net-mvc-3 razor

user431537 26 ноя '10 в 02:04 2010-11-26 02:04 · Answer 1 · 2010-11-26 02:04

Предположим, что ваш контент находится внутри строки с именем mystring...

Ты можешь использовать:

@Html.Raw(mystring)

В качестве альтернативы вы можете преобразовать вашу строку в HtmlString или любой другой тип, который реализует IHtmlString в модели или непосредственно в строке и использовать обычные @:

@{ var myHtmlString = new HtmlString(mystring);}
@myHtmlString

user742402 12 май '14 в 08:51 2014-05-12 08:51 · Answer 2 · 2014-05-12 08:51

Ты можешь использовать

@{ WriteLiteral("html string"); }

76

Источник

user742402 12 май '14 в 08:51

user234415 22 фев '11 в 22:50 2011-02-22 22:50 · Answer 3 · 2011-02-22 22:50

В ASP.NET MVC 3 вы должны сделать что-то вроде этого:

// Say you have a bit of HTML like this in your controller:
ViewBag.Stuff = "<li>Menu</li>"
//  Then you can do this in your view:
@MvcHtmlString.Create(ViewBag.Stuff)

76

Источник

user234415 22 фев '11 в 22:50

user1026459 13 окт '14 в 20:31 2014-10-13 20:31 · Answer 4 · 2014-10-13 20:31

Иногда бывает сложно использовать сырой HTML. Главным образом из-за уязвимости XSS. Если это проблема, но вы все еще хотите использовать сырой HTML, вы можете кодировать страшные части.

@Html.Raw("(<b>" + Html.Encode("<script>console.log('insert')</script>" + "Hello") + "</b>)")

Результаты в

(<b>&lt;script&gt;console.log('insert')&lt;/script&gt;Hello</b>)

user2866977 12 май '14 в 13:12 2014-05-12 13:12 · Answer 5 · 2014-05-12 13:12

Вы можете поместить вашу строку в viewdata в контроллере следующим образом:

 ViewData["string"] = DBstring;

А затем вызовите эти viewdata в виде, как это:

@Html.Raw(ViewData["string"].ToString())

5

Источник

user2866977 12 май '14 в 13:12

user471026 29 мар '12 в 12:28 2012-03-29 12:28 · Answer 6 · 2012-03-29 12:28

Помимо использования @MvcHtmlString.Create(ViewBag.Stuff) в соответствии с предложением Dommer, я предлагаю вам также использовать библиотеку AntiXSS в качестве рекомендуемого филла http://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx

Он кодирует почти все возможные строки атаки XSS.

2

Источник

user471026 29 мар '12 в 12:28

user818116 11 фев '20 в 16:28 2020-02-11 16:28 · Answer 7 · 2020-02-11 16:28

Полный пример использования шаблонных функций в RazorEngine (например, для создания электронной почты):

@model SomeModel
@{
    Func<PropertyChangeInfo, object> PropInfo =
        @<tr class="property">
            <td>
                @item.PropertyName                
            </td>
            <td class="value">
                <small class="old">@item.OldValue</small>
                <small class="new">@item.CurrentValue</small>                
            </td>
        </tr>;
}

<body>

@{ WriteLiteral(PropInfo(new PropertyChangeInfo("p1", @Model.Id, 2)).ToString()); }

</body>