今回は「<%: %>」を紹介します。

通常、なにか出力する際にはHTMLエンコードを行い、不正なタグを挿入されることを防ぎます。しかし、この操作は面倒で、冗長で、忘れやすいです。そこで、今回紹介する「<%: %>」を使用します。このメソッドを使用することで、簡潔にHTMLエンコードをかけることが可能です。

具体例を示します。

Html.Encodeを使用した例。

<%= Html.Encode("<script>alert('hello');</script>") %>

これくらいの例なら、平気ですが、大量に出てくるとうんざりしますし、忘れてしまうとXSS脆弱性を抱えることになります。そこで「<%: %>」の出番です。

<%: "<script>alert('hello');</script>" %>

より簡潔に記述することができますし、これなら忘れる心配も軽減されます。

良いですね、「<%: %>」。

参考URL：http://weblogs.asp.net/scottgu/archive/2010/04/06/new-lt-gt-syntax-for-html-encoding-output-in-asp-net-4-and-asp-net-mvc-2.aspx