377
DBテーブルに保存された安全な/消されたHTMLを取得しました。エスケープされていないHTML文字列の書き込み/出力
どのようにこのHTMLコンテンツをRazorビューに書き出すことができますか?
<やアンパサンドなどの文字は、常に&にエスケープされます。あなたのコンテンツを想定
A
答えて
571
は... mystringという名前の文字列の中
です:
@Html.Raw(mystring)
代わりにあなたがHtmlStringまたはIHtmlStringモデルで、または直接を実装する任意の他のタイプにあなたの文字列を変換することができますインラインで使用してください。@:
@{ var myHtmlString = new HtmlString(mystring);}
@myHtmlString
+0
この回答をありがとう。私が学んでいた少しの仕事を終えるのを助けました。私はMVC 3を使用していますが、Rawメソッドを正しく使用しています。 –
+1
私はまだMVC 3を学んでいて、これは私を逃していました。 –
+1
答えをありがとうございます!私は、MVC3の最新バージョンを使用していますが、これまでのところHtml.Rawはありません:( –
70
2
別にDommerにより示唆されるよう@MvcHtmlString.Create(ViewBag.Stuff) を使用してから、私はそれはほとんどすべての可能なXSS攻撃の文字列をエンコードするあなたも示唆したフィルhttp://haacked.com/archive/2010/04/06/using-antixss-as-the-default-encoder-for-asp-net.aspx
としてAntiXSSライブラリを使用することをお勧めします。
ViewData["string"] = DBstring;
をしてから、このような観点でそのViewDataを呼び出す:
@Html.Raw(ViewData["string"].ToString())
+0
ASP.NET MVCはほとんどのXSSの脆弱性を既に処理していませんか? – William
49
あなたは、あなたがこのようにコントローラでのViewDataにあなたの文字列を置くことができる
@{ WriteLiteral("html string"); }
+4
WriteLiteralの+1、その1つを知らなかった –
+4
これは私にとって最高だった、Hangfireアプリ内でRazorを使って電子メールを送信していた... 'Html.Raw() 'がそこで動作しない – shanabus
+0
1 WriteLiteral –
4
を使用することができます生のhtmlを使用するのが難しい場合もあります。主にXSSの脆弱性によるものです。それが懸念されるが、未加工のhtmlを使いたい場合は、恐ろしい部分をエンコードすることができます。人々に以下の議論の長い歴史を保存するには
(<b><script>console.log('insert')</script>Hello</b>)
8
を
関連する問題
- 1. Jsonプリント出力がエスケープ文字のために書込み出力と異なっています
- 2. HTMLでエスケープされていない文字列
- 3. 書き込み文字列
- 4. .htaccess - >書き換え文字列でエスケープしない文字 "(" ")"
- 5. python3:エスケープされていないエスケープ文字で囲まれたエスケープ文字
- 6. ソケットから文字列を読み取っているときに、書き込みで余分な文字が出力される
- 7. [String:String]辞書をエスケープされていない文字列に変換する
- 8. マッピングされていない文字をファイルに書き込みますか?
- 9. sed出力ファイル名のエスケープ文字列
- 10. 文字列の改行がファイルに書き出されない
- 11. エスケープ文字をファイルに書き込む
- 12. 文字列の書き込み方向
- 13. 書き込み/読み出し文字列
- 14. インライン匿名要素の文字列の出力/書き込み - JQuery
- 15. 文字列オブジェクトの読み込みが制御されない
- 16. HTMLオブジェクトのテキストとして表示されているasp Lableにhtml文字列を書き込むには?
- 17. 書き込み出力
- 18. シェルスクリプト(macOS):plist文字列からエスケープされたUnicode文字を出力する
- 19. freemarkerテンプレートを文字列出力に書き込む
- 20. PROLOGでの書き込みで変数値が出力されない
- 21. エスケープされた文字列が認識されない
- 22. JSON文字列のみをHTMLなしで出力します
- 23. ウェブビューでエスケープされた文字のHTMLコンテンツを読み込む方法
- 24. ElementTree書き込み関数が標準出力に書き込まない
- 25. エスケープ文字のアスキー文字列(ls出力リダイレクト)
- 26. Pythonの読み込み出力音が入力されない
- 27. Doxygen文書化されていない文字列の値
- 28. 書き込みUnicode文字 -
- 29. 書き込み中にExcelに値が入力されない
- 30. C:読み込み入力文字列を読み込み、文字配列
で
結果 - '@ Html.Raw()' –
動的型付けで匿名型とでこれをやろうとしている私のような人々を保存するにはこれはうまくいきません - 私のより具体的な質問に[この回答](http://stackoverflow.com/a/31306368/957950)を参照してください。あなたの状況が許せば、強く型付けされたビューでこのアプローチを使用することはなお良いですが。 – brichins