TagHelper子标记未转义的属性值
是指在ASP.NET Core中使用TagHelper时,如果属性值包含HTML特殊字符(如<、>、"等),默认情况下会被自动转义,以防止跨站点脚本攻击(XSS)。但有时候我们希望属性值不被转义,保留原始的HTML字符。
在ASP.NET Core中,可以通过使用Html.Raw方法来实现属性值不被转义。Html.Raw方法会将字符串作为原始HTML输出,而不进行转义。可以在TagHelper中使用该方法来处理子标记未转义的属性值。
以下是一个示例:
[HtmlTargetElement("my-tag")]
public class MyTagHelper : TagHelper
{
public string RawValue { get; set; }
public override void Process(TagHelperContext context, TagHelperOutput output)
{
output.TagName = "div";
output.Content.SetHtmlContent(Html.Raw(RawValue));
}
}在上述示例中,我们定义了一个名为MyTagHelper的TagHelper,并添加了一个RawValue属性。在Process方法中,我们将RawValue属性的值作为原始HTML输出到标签的内容中。
使用示例:
<my-tag raw-value="<strong>Hello, World!</strong>"></my-tag>上述示例中,我们在使用MyTagHelper时,将一个包含HTML标签的字符串传递给RawValue属性。由于使用了Html.Raw方法,该字符串不会被转义,而是作为原始HTML输出到页面中。
这样可以确保子标记未转义的属性值在页面中正确显示,并且不会导致XSS攻击的安全问题。
推荐的腾讯云相关产品:腾讯云云服务器(CVM)、腾讯云云数据库MySQL版、腾讯云CDN加速等。
更多关于腾讯云产品的信息,请访问腾讯云官方网站:腾讯云。
相关·内容
我有两个问题:
什么是视图上下文,它的优点是什么?
为什么我们要用它来做标签助手?
实际上,我是初学者,遵循亚当·弗里曼( adam )的"Pro ASP.NET Core,第6版“,他制作了一个标记助手类,他在其中使用
[ViewContext]
[HtmlAttributeNotBound]
public ViewContext ViewContext { get; set; }
他没有解释上面的代码为什么他使用这些属性的方括号中的这些属性的目的。如果有的话,请分享一个描述这类属性的链接。
浏览 1提问于2017-04-18得票数 12
回答已采纳
1回答
TagHelper指定有效属性
、、、、
我在MVC 6/ ASP.Net vNext中尝试创建一个自定义标记助手--这个标记助手工作得很好,但是是否有一种方法来指定与标签一起使用的有效asp-属性,以便它们出现在intellisense?中,例如,我希望asp-ajax和asp-onsuccess在视图中添加一个标记以匹配下面的标签条件:
[TargetElement("form", Attributes = AjaxForm)]
public class UnobtrusiveFormTagHelper : TagHelper
{
private const string AjaxForm = "a
浏览 3提问于2015-05-27得票数 4
回答已采纳
我需要调用一些控制器/动作方法,或者至少调用我自己的帮助器方法,这些方法将使用会话变量。如何在TagHelper的Process方法中执行此操作
浏览 2提问于2016-05-03得票数 2
1回答
我刚刚注意到,如果有两个标记帮助程序针对相同的元素,则可以执行这两种方法。它们的执行顺序取决于在_ViewImports.cshtml.中注册的顺序。
例如,我可以为锚元素创建另一个标记助手:
[HtmlTargetElement("a", Attributes = "foo")]
public class FooTagHelper : TagHelper
{
public override void Process(TagHelperContext context, TagHelperOutput output)
{
//Get
浏览 1提问于2015-10-03得票数 8
回答已采纳
2回答
我已经建立了二十来个HTML助手,我正在转换为标签帮助为ASP.NET 5 MVC 6,以生成脸谱开放图形元标签。以下是“网站”类型的一个示例:
Index.cshtml
<open-graph-website title="Page Title"
main-image="new OpenGraphImage(
"~/img/open-graph-1200x630.png",
"image/png
浏览 0提问于2015-09-29得票数 0
回答已采纳
我的XSLT样式表生成 HTML,其中一些元素可能包含data-...属性,以便将附加数据传递给框架。例如,我有以下代码来生成一个元素:
<xsl:template match="foo">
<a href="#" data-toggle="popover" data-placement="top" data-trigger="hover" data-html="true">
<xsl:attribute name="title">Po
浏览 8提问于2015-02-08得票数 2
回答已采纳
1回答
如果我有以下标记助手:
[Flags]
public enum SubresourceIntegrityHashAlgorithm
{
SHA256 = 1,
SHA384 = 2,
SHA512 = 4
}
[HtmlTargetElement("script", Attributes = "asp-subresource-integrity")]
public class FooTagHelper : TagHelper
{
[HtmlAttributeName("asp-subresource-integrit
浏览 6提问于2016-02-25得票数 3
回答已采纳
我正在为TagHelper 5编写一个ASP.NET,需要从助手内部访问文件系统,以检查文件是否存在。
在以前的版本中,我会使用HttpContext.Current.Server.MapPath或HttpRuntime.AppDomainAppPath,但是现在已经没有了。什么是等效的,我如何从TagHelper中得到它?
浏览 1提问于2015-03-24得票数 0
回答已采纳
就像我在标题里写的那样。在Ejs中,<%=、<%和<%-有什么区别?例如,我看到了这个代码<% include ../partials/header.ejs %>,还有这个代码<%= title %>。我还在某个地方看到了<%-,但在任何地方都找不到代码示例。那有什么区别?我什么时候用哪种?
我找到了这个,但这是给ruby on rails 的
浏览 0提问于2018-01-30得票数 7
回答已采纳
1回答
我正在用Xamarin为UWP创建一个表单,我有这个代码:
XAML
<StackLayout Orientation="Horizontal" HorizontalOptions="CenterAndExpand">
<Label Text="My Checkbox"
VerticalOptions="Center"
TextColor="White"></Label>
<CheckBox x:Name="myCheck
浏览 5提问于2021-12-02得票数 0
是否有可能在ASP.NET 5中构建复杂的标签助手,其中自定义标记具有特定类型的子元素/标记?
<blockSection columns="2" labelPosition="left">
<inputField for="name" />
<inputField for="email" required="true"/>
</blockSection>
在上面的示例中,blockSection将是一个只接受inputField标记的TagHelper。
浏览 1提问于2015-08-09得票数 3
回答已采纳
如果我创建这样一个EmailTagHelper:
public class EmailTagHelper : TagHelper
{
public string EmailAddress { get; set; }
public string Content { get; set; }
public override void Process(TagHelperContext context, TagHelperOutput output)
{
output.TagName = "a";
output.Attri
浏览 2提问于2020-01-30得票数 1
回答已采纳
1回答
我有一个输入(右上)用户可以搜索东西,当它的指令长度得到3个字符,它将显示一个产品列表,并突出显示匹配.
看看我的代码:
html
<div id="app">
<div id="header">
<div class="right"><input type="text" v-model="message" v-on:keyup="searchStart()" v-on:blur="searchLeave()"/>
浏览 3提问于2016-08-12得票数 9
回答已采纳
2回答
我转义一个字符串以匹配另一个字符串。
使用javascript
function escapeCode()
{
var a = RequestIsland.XMLDocument.firstChild;
var lineItems = a.selectNodes( "//a/p" );
while ( (lineItem = lineItems.nextNode()) != null )
{
var text = lineItem.getAttribute("c");
alert
浏览 3提问于2011-02-01得票数 1
回答已采纳
有任何方法可以让TagHelper呈现另一个TagHelper吗?
例TagHelpers;
public class OuterTagHelper : TagHelper
{
public override void Process(TagHelperContext context, TagHelperOutput output)
{
output.TagName = "";
output.Content.SetContent("Hello <inner></inner>");
}
浏览 7提问于2015-09-21得票数 7
回答已采纳
我一直跟踪ASP.NET核心文档,花了大量时间搜索堆栈溢出,试图实现一个简单的自定义TagHelper,但没有成功。
有没有人能对你的问题或已知的错误提出建议?
应用程序属性:
AssemblyName: AmpWeb
Target Framework .NET Core 2.1
NuGet软件包
Microsoft.AspNetCore.All 2.1.2
环境
OS: Windows 7 (x64)
SDK: Microsoft .NET Core SDK 2.1.302 (x64)
IDE: Visual Studio 2017 Professional 15.7.4
TagHelper
浏览 0提问于2018-07-11得票数 2
回答已采纳
在ASP.NET核心6中为常规剃须刀视图中的语句提供一个编辑器。
@Html.EditorFor(_ => _.Person.FirstName, "boot-text")
模型看起来像这样。
public class Model
{
[DataMember(Name = "firstName", IsRequired = true)]
[Required]
[StringLength(250)]
[DataType(DataType.Text)]
[DisplayName("Given Name"
浏览 5提问于2022-03-06得票数 0
回答已采纳
1回答
我有一个包含外部和内部元素的TagBuilder。如何遍历输入级别行,并将以下内容添加为新属性?
placeholder="Search"
<div class="form-group">
<div class="cont label-outside">
<label>Name</label>
<div class="group">
<input type="text" required
浏览 1提问于2019-07-20得票数 4
回答已采纳
从,我可以读到以下内容:
using System;
namespace AuthoringTagHelpers.Models
{
public class WebsiteContext
{
public Version Version { get; set; }
public int CopyrightYear { get; set; }
public bool Approved { get; set; }
public int TagsToShow { get; set; }
}
}
这是:
usin
浏览 7提问于2017-10-18得票数 1
回答已采纳
1回答
我正在尝试在我的Laravel项目中使用tinyMCE。问题是,当我存储新文章时,html标签不起作用。它们在我的laravel视图上显示为纯文本:
以下是在create.blade.php中实现的代码:
<script type="text/javascript" src="{{ asset('/js/tinymce/tinymce.min.js') }}"></script>
<script type="text/javascript">
tinymce.init({
浏览 4提问于2015-07-05得票数 3
回答已采纳
我在TagHelper类的process方法中生成脚本,如下所示
[TargetElement("MyTag")]
public Class MYClass: TagHelper{
public override void Process(TagHelperContext context, TagHelperOutput output)
{
StringBuilder builder = new StringBuilder();
builder.Append("<script>")
浏览 0提问于2015-07-09得票数 5
我在试着渲染这个
<nav>
<div class="nav nav-tabs" id="nav-tab" role="tablist">
<a class="nav-item nav-link active" id="nav-home-tab" data-toggle="tab" href="#nav-home" role="tab" aria-controls="nav-home" aria-selecte
浏览 0提问于2019-07-02得票数 1
回答已采纳
1回答
我使用CKEditor 4并将ckeditor值发布到Action。但是,当我单击submit、buttom和model进行操作时,ckeditor值就会发出空值。
视图:
<form asp-controller="Book" asp-action="AddEditBook" id="addeditbook" data-ajax="true"
data-ajax-method="POST" data-ajax-update="#addeditbook" data-ajax-mode=&
浏览 1提问于2017-11-06得票数 3
回答已采纳
3回答
ASP.NET核心引入了自定义标记帮助器,可以在如下视图中使用:
<country-select value="CountryCode" />
然而,我不明白如何在我的类中获得模型属性名称:
public class CountrySelectTagHelper : TagHelper
{
[HtmlAttributeName("value")]
public string Value { get; set; }
public override void Process(TagHelperContext context,
浏览 12提问于2016-08-29得票数 2
<span th:each="entry: ${productOptionDisplayValues}">
<span th:if="${entry?.key != 'OfferStatus'}">
<span th:if="${entry?.key=='color_'}" th:text="${entry.value}+ ' / '"/>
<span th:unless="${entry?.key=='color_'
浏览 0提问于2014-10-14得票数 0
我无法在Visual Studio2015中让tag助手在ASP.Net核心项目中工作。项目中没有编译错误。当我运行这个项目时,标签帮助器不会被渲染。我把断点放在了Tag helper中的"Process“方法中,但它并没有出现在那里。请让我知道如何使它工作。
1.在project.json文件的依赖项部分包含Microsoft.AspNet.Mvc.TagHelpers:6.0.0-rc1-final。
2.在_ViewImports.cshtml文件中添加@addTagHelper *,Microsoft.AspNetCore.Mvc.TagHelpers。
3.在Index.cs
浏览 2提问于2017-03-17得票数 0
我正在开发一个基于SpringBoot的MVC应用程序,它使用mongoDB来存储数据。我使用胸腺细胞作为模板引擎。在其中一个场景中,用户需要填写一个表单,然后显示在某个视图上。
我面临的问题是,用户可以在用表单的textArea (代码片段、表格格式等)编写数据时使用html标记来格式化数据。但是,当我显示该文本时,html没有被解析,而是按原样显示。
For Ex:字符串应显示为字符串,但仅显示为字符串。当我检查页面的源代码时,html标记被显示为编码,即< is显示为<;等,因此解析不会发生。
有人能帮忙吗?
浏览 0提问于2016-04-22得票数 1
回答已采纳
我在Asp.net core 2.1项目上工作。在我的项目中,有一个从两个表( Group和subGroup )绑定的菜单。
Group表包含Id和GroupName,subGroup表包含Id、groupId和subGroupName。
现在,为了提高加载站点的速度,我希望使用缓存。
1-从数据库获取cache数据的最佳方法是什么。
2- <cache></cache> (用于view)与IMemoryCache (用于controller或class)在asp.net核中的区别是什么?
浏览 3提问于2019-06-07得票数 0
回答已采纳
1回答
有些人能帮助我理解为什么当使用MyProperty和标准输入元素时,页面显示的是“TagHelper”的过期值吗?
该值正在Razor页面的OnPost方法中进行修改。在OnPost之后,TagHelper输入显示在post中发送的值,而非标记助手输入则显示实际的最新值。
示例页面模型:-
using System;
using System.Collections.Generic;
using System.Linq;
using System.Threading.Tasks;
using Microsoft.AspNetCore.Mvc;
using Microsoft.AspNetCor
浏览 1提问于2018-09-21得票数 2
回答已采纳
如何将元素定义为TagHelper内容?
例如,定义为:
<markdown>bla bla</markdown>
帮助者的定义为:
[HtmlTargetElement("markdown")]
public class MarkdownTagHelper : TagHelper
{
public override void Process(TagHelperContext context, TagHelperOutput output)
{
var c = output.Content.GetContent();
浏览 2提问于2016-11-28得票数 10
回答已采纳
2回答
ASP.NET Core 给出了以下示例:
public class WebsiteContext
{
public Version Version { get; set; }
public int CopyrightYear { get; set; }
public bool Approved { get; set; }
public int TagsToShow { get; set; }
}
[TargetElement("website-information")]
public class WebsiteInformationTagH
浏览 3提问于2015-09-21得票数 13
回答已采纳
3回答
我正在使用带有EJS模板的express.js,并且我尝试这样做:
<%= "<a href='#'>Test</a>" %>
但它会打印以下内容:
<a href='#'>Test</a>
如何打印"html safe“字符串?
浏览 0提问于2011-11-15得票数 37
回答已采纳
如果我做了一个select &选项标记,那么visual会将其呈现为紫色,并将其标记为taghelper。
但是,我不能使用这样的代码添加自定义属性:
它是红色的,但是@应该是黄色的,foo通常应该是黑色的。
当我运行它时,第一个选项应该有一个名为data-foo的属性,但是它不存在。
但是,当将代码放入绘制为紫色的脚本标记中时,它就会工作,如下所示:
在这里,它具有正常的颜色,当我运行它并在开发工具中查看时,我可以在dom中看到数据-foo属性。
但是,如果我将@foo代码放在末尾,那么它就不能工作,类似于选项,如下所示:
这是个窃听器还是怎么回事?
我
浏览 1提问于2017-11-29得票数 2
2回答
我目前正在开发一个ASP.NET核心自定义标记助手。我需要从属性中读取一个复杂的对象,如下所示:
模型
public class Page {
[HtmlAttributeName(page-size)]
public int size {get; set;}
}
public class MyControl {
public Page page {get; set;}
}
TagHelper类
[TargetElement("MyControl", Attributes="page-size")]
public class MyControlTa
浏览 3提问于2015-07-06得票数 5
ruby有什么功能可以逃避转义引号吗?喜欢
name = "some \"thing\""
"<meta property=\"og:title\" content=\"#{name}\" />"
作为
"<meta property=\"og:title\" content=\"some \\\"thing\\\"\" />"
简单的方法就是做
name.gsub("\"", "\\\"
浏览 2提问于2020-02-03得票数 0
回答已采纳
1回答
我正在编写一个自定义的TagHelper,它应该根据它的所有者标记拥有的子元素来改变它的行为。这将用于替换本地化字符串中的自定义html元素。 下面是我要做的一个简单的例子: <h2 locale-key="Hello, %1!">
<span class="bold" locale-parameter="1">@userName</span>
</h2> 在上面的示例中,LocaleKey的TagHelper会将<h2>标记的内容更改为本地化字符串。如果这是一个没有参数的简单
浏览 35提问于2021-09-08得票数 0
回答已采纳
1回答
我必须解析许多XML文档,我已经知道解析文件的逻辑,但问题是,每个xml文件的标记是不同的。
到目前为止,这就是我所拥有的
type Data struct {
Rows []Info `xml:"domain-google.com"` // <- This is custom and needs to change (e.g. the next xml doc tag will be `xml:"domain-facebook.com"`
}
type Info struct {
Domain string `xml:"do
浏览 4提问于2017-11-28得票数 1
回答已采纳
在我的网站上,我想有一个分类树。要使它工作,我需要通过递归循环将它们安排在父-子树中。我所做的就是从数据库中获取类别数据,运行循环并在NodeJS代码中生成输出的HTML。然后,我将生成的HTML字符串传递给要在浏览器中显示的EJS文档。
现在有个问题:只要生成的字符串在NodeJS函数中,它就应该是什么样子的。但是传递的字符串有一些字符被转换为标识,我无法找到将它们转换回来的方法。例如:
<h1>Hello world</h1>
变成了
<h1>Hello world</h1>
在ejs文档中,但是当我试图在一些
浏览 5提问于2022-01-05得票数 0
回答已采纳
1回答
我正在为ASP.NET Core3.1RazorPages应用程序编写一个标签助手。在我的TagHelper中,我想访问Razor对象(为了有条件地设置布局= null )
我知道
[HtmlAttributeNotBound]
[ViewContext]
public ViewContext ViewContext { get; set; }
工具,但页面似乎无法通过ViewContext访问。
问题
我是否必须通过TagHelper属性显式地传递页面本身,或者是否有更方便的方法来避免强制我的TagHelper用户重复添加这个额外的属性?
浏览 1提问于2020-05-14得票数 1
回答已采纳
我需要解决下面的访问变量问题。
我有两个文件,一个index.js和一个page.ejs,这些文件需要我创建一个与datetimes链接在本地服务器上的计时器。
//index.js..
router.get('/mieiNoleggi', function(req,res,next){
res.render("landMieiNoleggi",{title: 'miei noleggi', utente_loggato : req.session.utente, noleggi : req.session.mieiNol
浏览 1提问于2021-07-27得票数 1
回答已采纳
当我像这样使用Model属性分发HTML标记时,它传递的不正确,留下了不想要的东西
@Controller
String rating = "<i class="fa fa-star" aria-hidden="true"></i><i class="fa fa-star" aria-hidden="true"></i><i class="fa fa-star-half-o" aria-hidden="true"></i&g
浏览 0提问于2016-07-25得票数 2
回答已采纳
我有一个非常简单的TagHelper,它将把当前的CSP添加到指定的标记中。
在我开始使用asp-append-version之前,这一切都很好,这时浏览器开始抱怨脚本被阻塞了:
Report拒绝加载脚本,因为它违反了以下内容安全策略指令:" script -src‘strict dynamic’‘nonce 7TYX/FgHsrvHOORSEBRB3h0e’“。请注意,“严格-动态”是存在的,因此基于主机的允许列表被禁用。请注意,“script-src-elem”没有显式设置,因此“script-src”用作回退。
当我查看页面源代码时,我可以看到我的nonce被正确地应用了,但是我
浏览 7提问于2022-04-27得票数 1
回答已采纳
3回答
我正在尝试用已经保存的值填充name文本字段。
现在这个值可以包含撇号。但是文本字段正在将撇号转换为"' ;“。
例如:sdsd'sds ==> sdsd' ;sds
textfield的escape属性不起作用。
我该怎么办?
浏览 4提问于2015-12-23得票数 2
回答已采纳
2回答
我正在编写一组ASP.Net核心标记帮助程序,目标是<form>和<input>标记(以及其他标记)。我的<form>标记助手定义了一个自定义属性,它希望将该属性的值传递给子元素。
我读过的所有文章都使这听起来很简单:父标记帮助器将值存储在context.Items字典中,而子标记从同一字典中读取它。
这意味着--子标记帮助程序在父标记助手之后执行。然而,发现,对于<form>和<input>标记帮助程序,FormTagHelper在 InputTagHelper之后执行。
举个例子,考虑一下这个HTML:
<form my-a
浏览 0提问于2019-06-17得票数 5
回答已采纳
1回答
根据下面的html,我正在尝试提取'Milky Way‘当前占用的值。但是,使用路径查询"//a@class='tooltip'/@title“只能做到这一步。
使用我的查询,我能够获得嵌入的HTML。我想要的是包含在该HTML中的值(当前是Milky )。
如有任何帮助,请提前感谢。
<a href="#" class='tooltip' title="<div> <p>Milky Way</p> <p></p>
<table> <co
浏览 1提问于2014-01-14得票数 0
我对Java和Spring很陌生。我在应用CSS样式时遇到了错误。这是我的jsp:
<jsp:root version="1.2" xmlns:jsp="http://java.sun.com/JSP/Page"
xmlns:display="urn:jsptld:http://displaytag.sf.net"
xmlns:c="http://java.sun.com/jsp/jstl/core"
xmlns:spring="http://www.springframework.org/tags">
浏览 5提问于2013-01-18得票数 2
回答已采纳
为了防止XSS,每当您输出回用户输入时(就像您在显示输入错误的内容或使用以前提交的值重新绘制表单时所做的那样),您确实需要转义html。这是肯定的事..。
所以,做一些像这样的事情
echo "the name which was supplied as {$_GET['company_name']} is not accepted"
是不对的。
相反,我们会这样做。
echo "the name which was supplied as " . htmlspecialchars($_GET['company_name'])
浏览 0提问于2012-02-13得票数 1
回答已采纳
我需要根据文件类型显示html元素。html元素创建图标。现在我只得到一个字符串。 {
isArray(data.Attachments)
?
data.Attachments.map(attachment =>
getIcon(attachment.FileExtension)
)
: ''
}
const getIcon = (icon: string): string => {
if (icon) {
return '<span class="icon-nolink video-li
浏览 16提问于2019-04-26得票数 2
回答已采纳
1回答
在rails中清理属性值的最佳方法是什么?代码如下所示:
<img alt="<%= h 'untrusted-data' %>" src="image-source-here" />
我特别关注和给出的
将不受信任的数据插入HTML公共属性之前的属性逃避
将不受信任的数据插入到JavaScript数据值之前的JavaScript逃逸
html_escape方法是否足以达到此目的?由于某些原因,我不能在这里使用TagHelper提供的TagHelper方法。使用Rails 2.3.5版本。
浏览 4提问于2011-12-28得票数 2
回答已采纳
1回答
在DataAnnotations核心1.1中使用以下ASP.NET。最好在我的MVC视图中设置输入的最大长度来限制用户的输入。
模型
[Display(Name = "Post Code")]
[MaxLength(8, ErrorMessage = "Maximum number of characters that can be entered is 8!")]
public string PostCode
{ get; set; }
视图
<label asp-for="PostCode"></label>
<
浏览 3提问于2017-04-18得票数 7
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储活动推荐
腾讯云开发者
