static public string SpeakEvil() { return "<script>alert('BLAH!!');</script>"; }
在这种看法中,剃刀是非常正确的HTML编码,大多数人会期待。
@StaticFunctions.SpeakEvil()
如何让剃须刀不要HTML编码,以便HTML和JavaScript逐字排除,任何脚本实际运行?
对于像你这样的帮手我建议返回一个IHtmlString:
static public IHtmlString SpeakEvil() { return new HtmlString("<script>alert('BLAH!!');</script>"); }
这样你就不必在每个调用站点调用Raw()。
