.Net 4.0使用Attributes.Add为我的asp.net对象添加客户端事件时,会对单引号进行编码。在之前的版本中,这种情况并没有发生。
例如:
<asp:Image runat="server" ID="imgTest" ImageUrl="~/DateControl/cal.gif" />
imgTest.Attributes.Add("onmouseover", "alert('Hello')");
当我查看客户端输出时,我得到的是
<img id="ctl00_MainContent_calFromTimeStamp1_imgTest" onmouseover="alert('Hello')" src="../DateControl/cal.gif" style="border-width:0px;" />
我通过创建自定义编码器找到了一个解决方法:创建自定义编码例程,但我不想因为这个问题而停止整个网站的编码。有人有解决办法或者修复这个问题的想法吗?
WebControl.Attributes.Add()将JavaScript添加到HTML属性中,因为它会对属性值进行编码。
建议使用您不能使用Attributes集合向WebControl实例添加客户端脚本。要添加客户端脚本,请在Page控件上使用ClientScript属性。
Page.ClientScript.RegisterExpandoAttribute(string controlId, string attributeName, string attributeValue, bool encode) 方法。在您的情况下,它应该是这样的:Page.ClientScript.RegisterExpandoAttribute(
imgTest.ClientID,
"onmouseover",
"alert('Hello')",
false /* Do not encode */
);
在.NET中设置事件属性的最佳方法是调用一个单一函数:
imgTest.Attributes("message") = "Hello";
imgTest.Attributes("onmouseover") = "showMessage(this);"
function showMessage(ctrl)
{
alert(ctrl.getAttribute('message'));
}
link.Attributes["my_command"] = "myfunc('hello world')"; link.Attributes["onclick"] = "eval(this.my_command)";。新属性 my_command 确实被编码了,但是会被 eval() 方法解码。 - paul您可以创建如下类来关闭属性编码:
public class HtmlAttributeEncodingNot : System.Web.Util.HttpEncoder
{
protected override void HtmlAttributeEncode(string value, System.IO.TextWriter output)
{
output.Write(value);
}
}
<httpRuntime encoderType="HtmlAttributeEncodingNot"/>
不建议关闭属性编码。如果您尝试默认防止编码,则未来会发生许多奇怪的行为,并且您必须为不良实践付出代价。
.NET始终对任何属性进行编码,以防止注入恶意脚本。因此,您应该遵循这种默认做法来保护您的程序。
imgTest.Attributes.Add("onmouseover", "alert(\'你好\')");
在编程中,您可以在任何引号字符之前使用转义字符:
源代码:
this.Attributes.Add("onmouseover", string.Format("$(this).attr(\'src\',\'{0}\')",this.Page.ClientScript.GetWebResourceUrl(typeof(SwapImage), urlenabledkey)));
渲染:
onmouseover="$(this).attr('src','/WebResource.axd?d=kHY3FE9nMsUOvDU-pPthg4KQvVrnXlcASyA7dFf6L