6

使用有风险@Html.Raw吗?在我看来不应该有。如果存在风险,那么无论@Html.Raw在 Chrome 等现代浏览器中使用是否允许编辑注入<script>malicious()</script>甚至将表单的发布操作更改为其他内容,这种风险都不会存在。

4

3 回答 3

6

@Html.Raw将允许执行要显示的值上的任何脚本。如果你想防止你需要使用@Html.AttributeEncode

于 2012-06-21T19:01:56.547 回答
4

正确,风险在于它的使用方式。没有固有的风险Html.Raw。它是一个工具,仅此而已。

于 2012-06-21T19:00:31.637 回答
3

如果要显示用户输入的信息,最好使用@Html.Encode()。

换句话说,如果你是,displaying non-user eneterd data你可以安全地使用@Html.Raw()

于 2012-06-21T23:01:44.803 回答