MVC5_Day1（Razor视图引擎）

MVC提供了两种不同的视图引擎：Razor视图引擎、Web Forms视图引擎。

1.代码表达式

1.1 转换字符：核心转换字符@，用作标记<=>代码之间相互转换的字符。

1.2 两种基本转换：代码表达式、代码块。都是求出值，再写入响应中。

<hl>@items.Length</hl>
----------------------
@{ string test="MyAPP";}
<span>@(test).Models</span>
=><span>MyApp.Models</span>

 

2.HTML编码

视图显示用户的输入等信息，存在XSS（跨站脚本注入攻击）。

2.1 Razor表达式使用HTML自动编码。

@{string message="<script> alert('hello');</script>
}

弹出一个警告框。

2.2 不进行HTML编码

@{string message="<strong>This is a bold"</strong>
}
<span>@Html.Raw(message)</span>

显示结果：

<span><strong>This is bold</strong><span>

js中使用@Ajax.JavaScciptStringEncode方法对用户输入进行编码，可以有效避免XSS攻击

<script type="texxt/javascript">$(function(){var message='Hello @Ajax.JavaScriptStringEncode(ViewBag.UserName)';$("#message").html(message).show('slow');
});

理解HTML和JavaScript编码的安全隐患很重要。

3.Razor语法示例

3.1 隐式代码表达式

代码表达式被计算，再将值写入响应。隐式代码表达式总是采用HTML编码。

<span>@model.Message</span>

3.2 显示代码表达式

<span>1+2=@(1+2)</sapn>

3.3 无编码代码表达式

不需要采用HTML编码的值，可以使用HTML.Raw方法保证值不被编码。

<sapn>@Html.Raw(model.Message)</span)

3.4 代码块

@{int x=124;string y="abc";
}

3.5 文本和标记相结合

@foreach(var item in items)
{<span>Item @item.Name.</span>
}

3.6 混合代码和纯文本

@if(showMessage)
{<text>This is plain text</text>
}

<text>标签只是把标签内容写入到响应，标签本身不写入。

3.7 转移代码分割符

使用@@编码@

3.8 服务器端的注释

@*

XXXXX

*@

3.9 调用泛型方法

@(Html.SomeMethod<AType>())