在防範 XSS 攻擊時,常常教導同事,要將輸出的字串 Encode, 例如
- 在CodeBehind 時要 HttpUtility.HtmlEncode(myString)
- 在Web Form 的 aspx中,要 <%= HttpUtility.HtmlEncode(myString) %>
- 在MVC 的 View中,要<%= HtmlEncode(myString) %>
在Web Form的寫法實在太長了,而MVC 的寫法稍為短了一些,但也好不到哪裡去。
因此,在 ASP.NET 4 中介紹了新的語法 <%: … %>
上述的後兩個範例就可以簡寫成
<%: myString %>
大幅地縮短了 coding 時間。真是好設計。
沒有留言:
張貼留言