Question

これが愚かな質問であれば私を許してください。私は明示的に答えを見つけることができませんでした。

は、私はほとんど私のASPXページにバインド（）やeval（）を使用しない、代わりに次の構文を使用します。

<asp:Label id="lblFirstName" runat="server" Text='<%# Microsoft.Security.Application.AntiXss.HtmlEncode(DataBinder.Eval(Container.DataItem, "FirstName").ToString()) %> 

が、私はこのAを始めた（これは、RepeaterコントロールにItemTemplateにしていると仮定します）長い時間前に、それは疑問に思ったことはありませんでしたが、今ではこれが過度のことかもしれません。そして今、私はすべての場所で、この構文を使用するCMSを使用しています：

<asp:Label id="lblFirstName" runat="server" Text='<%# Bind("FirstName") %> 

私はバインド（）または評価を（使用している場合ので、私は、基本的には、思ったんだけど）ランタイムは自動的に出力をHtmlEncodeのでしょうか？私はいつも不必要なコーディングをしていますか？

Answer 1

Bind（）とEval（）は、そのようなことを防ぐために何もしないでエンコードしません。 <%# %>スタイルコードブ​​ロックも実行しません。

ただし、ASP.NET 4以降を使用している場合は、<%: %>ブロックを使用してレスポンス書き込みタイプの状況でこれを処理し、データバインド状況では<%#: %>を使用できます。

Scott Guthrieはこれについて素晴らしいpostを持っています。