C# 单引号和双引号html属性之间的功能区别是什么?
让C# 单引号和双引号html属性之间的功能区别是什么?,c#,html,C#,Html,让sEncodedHref表示HttpUtility.htmlAttributeNCode(..)'d字符串 生成的html之间是否存在如下功能差异: String.Format(@"<span class='blue' src='{0}'>", sEncodedHref); String.Format(@"<span class=""blue"" src=""{0}"">", sEncodedHref); String.Format(@“”,sEncodedHref
sEncodedHrefHttpUtility.htmlAttributeNCode(..)String.Format(@"<span class='blue' src='{0}'>", sEncodedHref);
String.Format(@"<span class=""blue"" src=""{0}"">", sEncodedHref);
String.Format(@“”,sEncodedHref);
String.Format(@"<span class='blue' src='{0}'>", sEncodedHref);
String.Format(@"<span class=""blue"" src=""{0}"">", sEncodedHref);
String.Format(@“”,sEncodedHref);
我一直认为单引号的变体不太受支持,也不太“安全”,但我很难提供支持该论点的理由。绝对没有功能上的区别。虽然双引号的使用更为广泛且更为可取,但两者都是有效的。没有功能上的区别: 默认情况下,SGML要求使用双引号(ASCII十进制34)或单引号(ASCII十进制39)分隔所有属性值。当值由双引号分隔时,单引号可以包含在属性值中,反之亦然 在某些情况下,作者可以指定不带引号的属性值。属性值只能包含字母(a-z和a-z)、数字(0-9)、连字符(ASCII十进制45)、句点(ASCII十进制46)、下划线(ASCII十进制95)和冒号(ASCII十进制58)。我们建议使用引号,即使可以消除它们
就html而言没有区别。他们都得到支持。当您通过其他方式动态输出它时,您只需要注意正确地退出等等。。但这与您使用的脚本语言有关,而不是您的浏览器 从功能角度看,没有差异。从安全的角度来看,存在以下问题。当你使用单引号时,黑客更容易使用XSS(当然,当这些引号中的文本来自不受信任的来源时)。然而,我不会只赌双引号。最好对该属性值使用适当的编码
更新: 以下是ASP.NET的一个示例:
<input type='button'
value='<% = HttpUtility.HtmlEncode(Request["button"]) %>' />
mypage.aspx?button?click'%20onclick='alert("xss")
<input type='button'
value="<% = HttpUtility.HtmlEncode(Request["button"]) %>" />
public class DevEnt()
{
public string IMEI {get; set;}
public Datetime {get; set;}
}
dev=new DevEnt(){
Dev_IMEI="111111",
Date=new DateTime(2015,12,1)
}
使用像
Dev_IMEI='111111'htmlspecialcharsHttpUtility.HtmlEncodeonclickonmouseover