本文介绍ASP.NET 4.0中引入的<%:%>语法及其与<%=%>的区别。<%:%>能够自动进行HTML编码,有助于防止跨站脚本攻击(XSS),而在使用HTMLHelper的情况下则不会进行重复编码。.NET Framework 4.0的这一改进简化了安全编码实践。
<%: %>是.net framework 4.0中引入的。这种语法只能用在visual 2010 并且.net framework 4.0中。4.0 framework加强了.net页面编译器,支持<%: %>语法,取代传统的<%= %>.
mvc把这种改进的编译器作为其视图(view)的默认编译器.
<%: %> 和<%= %>的区别是:<%: %>可以自动对其输出进行html编码(html-encode),防止跨站脚本攻击(XSS),除非要呈现的值是来自于HTML Helper.在这种情况下因为没有安全问题,所以不需要对值重新编码。
如果是在.net framework 3.5 或visual studio 2008中,就只能用<%= %>,自己手动对输出进行html编码,防止脚本跨站攻击。而当输出时来自HTML Helper时,无需编码。
例子:需要转码的情况
.net 4.0 <%: value%>
.net 3.5 <%= html.Encode(value)%>
例子:不需要转码的情况
.net 4.0 <%: html.ActionLink("RSVP Now","RsvpForm")%>
.net 3.5 <%= html.ActionLink("RSVP Now","RsvpForm")%>
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
