Schreiben/ausgeben von HTML-Zeichenfolgen ohne Umschreibung

Habe ich safe/sanitized HTML speichern in einer DB-Tabelle.

Wie kann ich diese HTML-Inhalt, geschrieben in einer Razor-Ansicht?

Es immer entkommt Zeichen wie < - und kaufmännische und-Zeichen zu &amp;.

Um Menschen zu retten die lange Geschichte der Diskussion unten - @Html.Raw()
Um Menschen zu retten wie mich, der versucht, dies zu tun mit anonymen Typen in dynamisch typisierten Ansichten, wo das funktioniert nicht - siehe Antwort, um meine eher spezifische Frage. Obwohl mit diesem Ansatz mit einer stark typisierten Sicht immer noch besser ist, wenn Ihre situation ermöglicht.

InformationsquelleAutor AGS | 2010-11-25

  1. 627

    Angenommen, dass Ihr Inhalt in einem string namens mystring...

    Können Sie verwenden:

    @Html.Raw(mystring)

    Alternativ können Sie konvertieren Sie Ihre Zeichenfolge zu HtmlString oder jede andere Art implementiert, dass IHtmlString im Modell oder direkt inline und verwenden Sie regelmäßig @:

    @{ var myHtmlString = new HtmlString(mystring);}
@myHtmlString
    Vielen Dank für diese Antwort. Half mir Schluss eine kleine Aufgabe, die ich lernen mußte. 🙂 Aber ich bin mit der aktuellen version von MVC3 und bisher keine Html.Raw 🙁
    Hallo Sergio. Ich bin mit MVC 3 und ich bin mit der Raw-Methode richtig.
    Danke für die Antwort! Ich bin immer noch lernen, MVC 3 und dies war entzieht sich mir.
    Ich bin mit der neuesten MVC 3 mit razor syntax und Html.Raw ist definitiv für mich verfügbar.
    Lorenzo, ich habe aktualisiert, Antwort löschen die Erwähnung des MVC-Beta, wie es war vor einigen Jahren. Fühlen Sie sich frei, rückgängig machen/ändern.

    InformationsquelleAutor Lorenzo

  2. 75

    In ASP.NET MVC-3 sollten Sie etwas wie das hier tun:

    //Say you have a bit of HTML like this in your controller:
ViewBag.Stuff = "<li>Menu</li>"
// Then you can do this in your view:
@MvcHtmlString.Create(ViewBag.Stuff)
    Ich bevorzuge diese Methode, weil HTML.Raw in die Luft sprengt, wenn der übergebene string null ist.
    Danke, das ist sehr sauber!

    InformationsquelleAutor Tom Chantler

  3. 58

    Können Sie

    @{ WriteLiteral("html string"); }
    +1 für WriteLiteral, wusste nicht, dass man
    Das war genial für mich, war mit Razor in einem Hangfire-app zum senden von E-Mails... Html.Raw() funktioniert dort nicht
    1 für WriteLiteral

    InformationsquelleAutor Andrus

  4. 11

    Manchmal kann es schwierig sein, verwenden Sie raw-html. Vor allem, weil der XSS-Sicherheitslücke. Wenn das ist ein Anliegen, aber Sie wollen immer noch, in raw html-Kodieren Sie die unheimlich Teile.

    @Html.Raw("(<b>" + Html.Encode("<script>console.log('insert')</script>" + "Hello") + "</b>)")

    Ergebnisse in

    (<b>&lt;script&gt;console.log('insert')&lt;/script&gt;Hello</b>)

    InformationsquelleAutor Travis J

  5. 4

    Du kannst dein string in viewdata-in-controller wie diesem :

     ViewData["string"] = DBstring;

    Und rufen Sie dann diese viewdata in der Ansicht wie diese :

    @Html.Raw(ViewData["string"].ToString())

    InformationsquelleAutor Ajay

  6. 2

    Abgesehen von der Verwendung @MvcHtmlString.Create(ViewBag.Stuff)
    vorgeschlagen von Dommer, ich schlage vor, Sie verwenden auch AntiXSS Bibliothek vorgeschlagen, phill http://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx

    Es kodiert für fast alle möglichen XSS-Angriff-string.

    Nicht ASP.NET MVC bereits handhaben meisten XSS-Schwachstelle?

    InformationsquelleAutor ZeNo

Schreibe einen Kommentar