Asp.net mvc 我是否应该始终使用<;%:而不是<;%=
我知道编码为HTML的优点之一是它根据相应的数据类型使W3C页面有效。那么,为什么要首先验证文档呢 有关该问题的答案,请检查,请检查:Asp.net mvc 我是否应该始终使用<;%:而不是<;%=,asp.net-mvc,asp.net-mvc-2,Asp.net Mvc,Asp.net Mvc 2,我知道编码为HTML的优点之一是它根据相应的数据类型使W3C页面有效。那么,为什么要首先验证文档呢 有关该问题的答案,请检查,请检查: 简单地验证HTML可以节省开发周期后期的大量时间,这是一个很好的实践 如果您只使用一种类型,那么它会更容易,并且使代码更干净。 而且,你永远也不知道,谁会修改代码,并用一个简单的“100%”语句,一个不那么100%的语句:-) 通常,在web环境中,这些东西的性能不是问题 我建议只使用“一个你想而不是想亲自使用的例子,我只把它用于我知道需要编码的东西。无需将其用
简单地验证HTML可以节省开发周期后期的大量时间,这是一个很好的实践 如果您只使用一种类型,那么它会更容易,并且使代码更干净。 而且,你永远也不知道,谁会修改代码,并用一个简单的“100%”语句,一个不那么100%的语句:-) 通常,在web环境中,这些东西的性能不是问题
我建议只使用“一个你想而不是想亲自使用的例子,我只把它用于我知道需要编码的东西。无需将其用于整数类型,但这只是个人偏好。代码块是ASP.NET 4.0 web编译器的一部分,而不仅仅是调用
Html.Encode()
。它首先计算字符串是否已编码(如果表达式返回IHtmlString
,则可能不会编码)
这意味着在插入实际数据或从某种类型的帮助器方法插入HTML时使用它是安全的(如果您编写自己的帮助器方法,从MVC2开始,它们应该始终返回IHtmlString
)
至于你是否总是使用它,你当然不会。但我不想想太多,我会更高兴地知道,我已经采取了一些方法来抵御XSS攻击,几乎不费吹灰之力;因此,我几乎总是使用它
它还鼓励您确保从HTML助手方法返回MvcHtmlString
,而不是string
相当于
使用你的意思是;价值观我想他实际上是在问他是否需要使用