使用@Html.Raw是否存在风险?在我看来应该没有。如果存在风险,那么无论使用@Html.Raw是否存在风险,Chrome等现代浏览器都允许编辑注入<script>malicious()</script>,甚至将表单的帖子操作更改为其他内容
答案 0 :(得分:6)
@Html.Raw将允许执行要显示的值上的任何脚本。如果您想要阻止,则需要使用@Html.AttributeEncode
答案 1 :(得分:4)
正确,风险在于如何使用。 Html.Raw没有固有的风险。这是一个工具,仅此而已。
答案 2 :(得分:3)
如果您要显示用户输入的信息,最好使用@ Html.Encode()。
换句话说,如果你是displaying non-user eneterd data,你可以安全地使用@ Html.Raw()