ASP.NET 4（和ASP.NET MVC 2）中输出HTML编码的新语法<％：％>

今天的文章介绍了ASP.NET 4中引入的一个小而且非常有用的新语法功能 - 这是在代码块中自动对输出进行HTML编码的功能。这有助于保护您的应用程序和站点免受跨站点脚本注入（XSS）和HTML注入攻击，并且使您能够使用简洁的语法来执行此操作。

HTML编码

跨网站脚本注入（XSS）和HTML编码攻击是困扰网站和应用程序的两个最常见的安全问题。当黑客找到一种方法将客户端脚本或HTML标记注入网页，然后由其他访问者查看网站时，就会发生这种情况。这既可以用来破坏网站，也可以让黑客运行客户端脚本代码，窃取cookie数据和/或利用用户的身份在网站上做坏事。

帮助缓解跨站脚本攻击的一种方法是确保呈现的输出是在页面内编码的HTML。这有助于确保任何可能由最终用户输入/修改的内容都不能输出到包含<script>或<img>元素的标签的页面上。

如何HTML编码今天的内容

ASP.NET应用程序（尤其是使用ASP.NET MVC的应用程序）通常依靠使用<％=％>代码块表达式来呈现输出。今天的开发人员经常使用这些表达式中的Server.HtmlEncode（）或HttpUtility.Encode（）帮助器方法在呈现之前对输出进行HTML编码。这可以使用如下代码来完成：





虽然这工作正常，但有两个缺点：

这是一个有点冗长

开发人员经常忘记调用Server.HtmlEncode方法 - 并且没有简单的方法来验证应用程序的使用情况

新的<％：％>代码块语法

使用ASP.NET 4，我们引入了一种新的代码表达式语法（<％：％>），它可以呈现像<％=％>块这样的输出，但是也会在执行之前自动对HTML进行编码。这消除了像上面的例子那样显式地HTML编码内容的需要。相反，你可以在下面写出更简洁的代码来完成完全相同的事情：





我们选择了<％：％>语法，以便快速替换<％=％>代码块的现有实例。它还使您能够轻松搜索代码库中的<％=％>元素，以查找和验证在应用程序中没有使用HTML编码的任何情况，以确保您具有正确的行为。

避免双重编码

虽然HTML编码内容通常是一个很好的实践，但是有时您输出的内容是HTML或已经被编码 - 在这种情况下，您不想再对HTML进行编码。

ASP.NET 4引入了一个新的IHtmlString接口 （以及一个具体的实现：HtmlString），您可以在类型上实现以表明其值已经正确编码（或以其他方式）显示为HTML，因此值不应该再次进行HTML编码。<％：％>代码块语法检查IHtmlString接口是否存在，如果代码表达式的值实现了此接口，则不会对代码表达式的输出进行HTML编码。这允许开发人员避免必须根据每个案例来决定是使用<％=％>还是<％：％>代码块。相反，您始终可以使用<％：％>代码块， 接口。

使用带有<％：％>的ASP.NET MVC HTML Helper方法

有关此HTML编码转义机制有用的实际示例，请考虑在ASP.NET MVC中使用HTML帮助程序方法的情况。这些辅助方法通常返回HTML。例如：Html.TextBox（）辅助方法返回标记，如<input type =“text”/>。在ASP.NET MVC 2中，这些辅助方法现在默认返回HtmlString类型 - 这表示返回的字符串内容对于渲染是安全的，不应该由<％：％>块编码。

这使您可以在<％=％>代码块块中使用这些方法：





以及在<％：％>代码块块中：





在这两种情况下，从helper方法返回的HTML内容都将以HTML的形式呈现给客户端，并且<％：％>代码块将避免对其进行双重编码。

这使您可以默认在应用程序中始终使用<％：％>代码块代替<％=％>代码块。如果你想要真正的核心，你甚至可以创建一个构建规则，搜索你的应用程序寻找<％=％>的用法，并标记任何它发现的错误，以强制HTML编码总是发生。

脚手架ASP.NET MVC 2视图

当您使用VS 2010（或免费的Visual Web Developer 2010 Express）来构建ASP.NET MVC 2应用程序时，您会发现默认情况下使用“添加视图”对话框的脚手架视图始终使用<％：％ >输出任何内容时阻止。例如，下面我为一个Article对象搭建了一个简单的“编辑”视图。请注意标签，文本框和验证消息的<％：％>代码块的三种用法（所有使用HTML帮助程序方法的输出）：

概要

新的<％：％>语法提供了一种自动HTML编码内容的简明方法，然后将其作为输出呈现。它可以让你的代码不那么冗长，并且可以轻松地检查/验证你的网站是否始终是HTML编码内容。这可以帮助保护您的应用程序免受跨站点脚本注入（XSS）和HTML注入攻击。