手探りASP.NET MVC(2) 「」
今回は「<%: %>」を紹介します。
通常、なにか出力する際にはHTMLエンコードを行い、不正なタグを挿入されることを防ぎます。しかし、この操作は面倒で、冗長で、忘れやすいです。そこで、今回紹介する「<%: %>」を使用します。このメソッドを使用することで、簡潔にHTMLエンコードをかけることが可能です。
具体例を示します。
Html.Encodeを使用した例。
<%= Html.Encode("<script>alert('hello');</script>") %>
これくらいの例なら、平気ですが、大量に出てくるとうんざりしますし、忘れてしまうとXSS脆弱性を抱えることになります。そこで「<%: %>」の出番です。
<%: "<script>alert('hello');</script>" %>
より簡潔に記述することができますし、これなら忘れる心配も軽減されます。
良いですね、「<%: %>」。