我听说不推荐在Razor视图中使用HTML.Raw,如果是这样的话,我就有问题了。
我使用Entity Framework与我的SQL DB进行交互。另外,我使用SummerNote作为前端的编辑器。
现在我的视图代码在@{ }块中,我相信它会进行一些编码/解码。
场景是,用户在SummerNote编辑器中输入一些文本,并应用一些格式(例如,将单词加粗),然后单击saves。这将生成一个HTML字符串并将其传递给我的控制器:
<p>Test <b>string </b>with formatting.</p>
在控制器中,我使用HTML encode来编码:
customerData.Description = HttpUtility.HtmlEncode(summerNoteFieldData);
然后把它发送到DB。在DB中,它看起来如下所示:
<p>Test <b>string </b>with formatting.</p>
然后在展示时的视图中,我这样做:
<div class="summernote">@Html.Raw(@HttpUtility.HtmlDecode(@Model))</div>
因此,如果我删除Html.Raw,我将看到上面的超文本标记语言字符串,而不是格式化的字符串。
这是安全和正确的方法吗?还能改进吗?
谢谢你的帮助。
发布于 2018-07-04 07:39:52
在视图中打印时(使用@Model
),您应该对HTML进行编码。
不要在其他地方编码或解码;不要将编码的内容存储在数据库中。
https://stackoverflow.com/questions/51164075
复制相似问题