¿Existe un riesgo al usar @Html.Raw? Me parece que no debería haberlo. Si hay un riesgo, entonces ese riesgo ya no existiría independientemente de usar @Html.Raw en que los navegadores modernos como Chrome permitirán una inyección de edición de <script>malicious()</script> o incluso para cambiar la acción posterior de un formulario a otra cosa.¿Existe algún riesgo al usar @ Html.Raw?
@Html.Raw permitirá ejecutar cualquier script que esté en el valor para mostrar. Si desea evitar que necesite usar @Html.AttributeEncode
Correcto, el riesgo está en cómo se usa. No hay riesgo inherente en Html.Raw. Es una herramienta, nada más.
Si está mostrando información ingresada por el usuario, es mejor usar @ Html.Encode().
En otras palabras, si usted es displaying non-user eneterd data que son seguros para ir con @ Html.Raw()
Este es un buen punto, y estoy completamente de acuerdo :) Pero mi uso está destinado a generar un cuadro de entrada desde un helper html, así que creo que estaré a salvo. –
Y lo mismo se puede decir de mostaza. O gas mostaza. –