该文件为MvcHtmlString不可怕启发:
MvcHtmlString
表示不应再次编码的 HTML 编码字符串。
我不清楚这到底意味着什么。似乎一些 HTML 帮助器方法返回一个MvcHtmlString,但我在网上看到的几个自定义帮助器示例只返回一个常规字符串。
问题:
什么是MvcHtmlString?
我什么时候应该选择MvcHtmlString超过string反之亦然?为什么?
string
ASP.NET 4 引入了新的代码块语法<%: %>。本质上,<%: foo %>转换为<%= HttpUtility.HtmlEncode(foo) %>. 该团队正试图让开发人员使用<%: %>而不是<%= %>尽可能地防止 XSS。
<%: %>
<%: foo %>
<%= HttpUtility.HtmlEncode(foo) %>
<%= %>
但是,这引入了一个问题,如果代码块已经对其结果进行了编码,则<%: %>语法将对其重新编码。这是通过引入 IHtmlString 接口(.NET 4 中的新功能)解决的。如果FOO()的<%: foo() %>返回一个IHtmlString,该<%: %>语法不会重新编码。
<%: foo() %>
MVC 2 的助手返回 MvcHtmlString,它在 ASP.NET 4 上实现了接口 IHtmlString。因此,当开发人员<%: Html.*() %>在 ASP.NET 4 中使用时,结果不会被双重编码。
<%: Html.*() %>
编辑:
这种新语法的直接好处是您的视图更简洁一些。例如,您可以编写<%: ViewData["anything"] %>代替<%= Html.Encode(ViewData["anything"]) %>.
<%: ViewData["anything"] %>
<%= Html.Encode(ViewData["anything"]) %>
