ASP.NET 4 中是否可以默认打开 HTML 编码？

Question

在 ASP.NET 4 中，我们可以使用新的 <%: ... %> 运算符来输出 HTML 编码的字符串。是否可以配置 ASP.NET 4（在 web.config 中），以便 <%= ... %> 运算符也对字符串进行 HTML 编码？

Answer 1

不，幸运的是。

如果您这样配置，您的开发人员将养成使用 <%= ... %> 而不是编码的习惯。

如果他们随后从事不同的（正常）项目，他们最终会忘记对输出进行编码。

ASP.Net Razor 默认为 HTML编码，因为它不存在这个问题。
（没有可以切换到默认情况下不会编码的 Razor 代码）

Answer 2

就我个人而言，我不喜欢这个新的 <%: 语法。我宁愿使用 <%= HttpUtility.HtmlEncode( 因为它更加明确。

除此之外，它还给人一种错误的安全感，因为它只进行 HTML 编码。例如看这个代码片段：

function myJavaScriptFunction()
{
    var message = '<%: Person.LastComment %>';
    alert(message);
}

它不会保存，因为它没有使用正确的编码 以下是安全的：

function myJavaScriptFunction()
{
    var message = '<%: AntiXss.JavaScriptEncode(Person.LastComment) %>';
    alert(message);
}

更明确。