标签:
如果是使用c#解析器,那么就会是.cshtml结尾的文件,这样告诉编译器使用c#解析,如果是vb,那么就是vbhtml文件的后缀。
简单的用法:
@
{
string[] strArray = new string[]{"1","2","3"};//使用Razor定义了一个字符串数组。
}
@strArray.Length 输出定义的数组中元素的个数。还可以@foreach对象进行迭代数组中的元素。
虽然Razor非常智能,但是有时候也会犯错。例如:@strArray.Length.Count,其实.Count是想直接输出在页面中的,但是Razor解析成了C#代码,这时我们可以显示指定代码范围:@(strArray.Length).Count跟Web form中一样指定代码的范围,有二义的时候圆括号还是非常有用。
当如果我们就是想输出字符串@aspnet的时候那么Razor默认会当做代码来解析,那么我们可以使用转义符@来解决这个问题:@@aspnet,Razor会自动识别电子邮件格式,所以不用担心页面显示电子邮件的时候当做代码来处理了。当进行产品评论的时候会出现跨脚本注入攻击(XSS)危险,但是Razor总是使用html编码方式进行编码,然后在页面中进行呈现。如果要在页面呈现html代码,那么就要使用@Html.Raw(值)方法就能有效的展示htm代码,当Razor代码中要给js中的变量赋值时为了防止XSS攻击,那么就要使用@Ajax.JavaScriptStringEncode()方法对值进行编码,这样就有效的防止XSS攻击了。例如:
<script type="text/javascript">
var js = "@Ajax.JavaScriptStringEncode(ViewBag.Message)";
document.getElementById("div2").innerText = js;
</script>
这样子就能有效的避免XSS攻击。
标签:
原文地址:http://www.cnblogs.com/frank888/p/4526773.html
