Lưu trữ Html.Raw() trong một chuỗi trong Javascript, ASP.NET MVC 3

Question

Tôi đang sử dụng ASP.NET và tôi có một chuỗi HTML trong cơ sở dữ liệu.

Tôi muốn chuyển html đó thành biến trên máy khách.

Nếu tôi làm điều này:

var x = '@Html.Raw(myModel.FishValue)' 

nó hoạt động tốt, bởi vì nó chủ yếu làm

var x = '<p>hello!</p>'; 

tuy nhiên nếu có dấu ngoặc kép trong html nó phá vỡ trang.

đoán ban đầu của tôi sẽ được .Replace chuỗi thô để thêm thoát để có dấu ngoặc kép, tuy nhiên cả hai .ToString() và .ToHtmlString() (như Html.Raw trả về một IHtmlString) không xuất trình đánh dấu tương tự như đơn giản Html.Raw().

Vì vậy, tôi không biết phải làm gì tốt nhất.

Answer 1

Điều gì sẽ thay thế trước khi gọi phương thức Html.Raw?

var x = '@Html.Raw(myModel.FishValue.Replace("'","\\'"))' 

UPDATE:

Có thể có ký tự thoát khác trong chuỗi đến từ các mô hình. Vì lý do đó tôi khuyên bạn nên thay thế các dấu gạch chéo đầu tiên là tốt. Tất nhiên tất cả phụ thuộc vào những gì có thể đến từ máy chủ trong mô hình của bạn.

var x = '@Html.Raw(myModel.FishValue.Replace("\\","\\\\'").Replace("'","\\'"))' 

Một đoạn mẫu đại diện cho hành vi trong javascript:

//Let's say my Model Content is > I'd Say \ is a escape character. You can't "Escape" 
 
    // YOu would have to replace ' --> \' and \ --> \\ 
 
    var stringFromServer = 'I\'d Say \\ is a escape character. You can\'t "Escape"' 
 
    alert(stringFromServer)

Answer 2

Hãy thử điều này:

var x = '@(System.Web.HttpUtility.HtmlEncode(myModel.FishValue))'; 

Nếu bạn cần để giải mã HTML trên máy khách sử dụng bên

unescape(x) 

Tôi nghĩ rằng JQuery (không chắc chắn bạn đang sử dụng hay không) xử lý các chuỗi HTML được mã hóa để bạn có thể không cần unescape().

Answer 3

Hãy thử các thư viện chống XSS từ Microsoft (mà sẽ được đưa tôi tin theo mặc định trong asp.net 4.5):

 
AntiXss.JavascriptEncode(yourContent) 

Anti-XSS có sẵn 4.1 beta. Nếu bạn muốn sử dụng nó trong ứng dụng của bạn mà tôi rất khuyên bạn nên kiểm tra: http://weblogs.asp.net/jgalloway/archive/2011/04/28/using-antixss-4-1-beta-as-the-default-encoder-in-asp-net.aspx