MarkupString 的核心作用是安全地渲染 HTML 字符串,仅适用于可信静态 HTML 片段,不支持 Razor 语法、事件绑定或组件标签,且会自动修正非法标签;误用可能导致 XSS 或功能失效。
MarkupString 的核心作用是**安全地渲染 HTML 字符串**,但它不是万能的“HTML 注入开关”。用错地方或忽略限制,轻则标签被自动修正、事件失效,重则内容不显示或引发 XSS 风险。关键不在“怎么写”,而在“什么时候该用、怎么配得上它”。
只用于可信的静态 HTML 片段
MarkupString 适合渲染你完全控制来源的 HTML,比如后台配置的富文本、预编译的提示文案、或读取自 wwwroot 下的 .html 文件(Blazor Server)。
✅ 推荐:从本地文件读取并渲染(Server 端):@((MarkupString)HtmlContent),前提是路径已校验、内容无用户输入 ✅ 推荐:拼接简单结构化标签,如 @((MarkupString)$"{title}") ❌ 避免:直接渲染用户提交的评论、富文本编辑器输出(未净化)——这会绕过 Blazor 的默认 HTML 转义,造成 XSS
别指望它执行 JS 或绑定事件
MarkupString 渲染的是纯 HTML DOM 节点,不会解析 Razor 语法,也不会激活 @onclick、@bind 或组件标签。你在字符串里写的 @onclick="HandleClick" 或 全部当普通文本处理。
❌ 错误示例:var html = ""; @(new MarkupString(html)) → 按钮显示但点击无响应 ✅ 替代方案:用原生 HTML + JS 互操作(需额外注册)、或改用条件渲染(@if(showBtn) { })
标签不闭合?不是 bug,是设计行为
Blazor 在解析 MarkupString 时会自动补全或关闭不合法的 HTML 标签(如
hello
本源码是我用过最好的淘客站源码。对于新站长很用帮助。重要!!注意上传完程序后要先登陆后台修改域名,否则会跳转到后台已设置的域名。 使用方法1:将文件夹里面的文件上传至您的空间根目录(不要在本地测试,本地测试期间功能将被限制,首页模板显示不正常!)2:访问网址http://您的网址/admin 账号:admin 密码:admin3:填写您基本网站信息,以及重要的淘客相关信息 声明:本程序使用权是本人
0 
- ✅ 用
包裹尖括号内容(仅适用于 XML/XHTML 上下文,且需确保父容器支持) ✅ 改用HtmlString(注意:.NET 6+ 中 HtmlString 已被标记为过时,推荐用 MarkupString + 手动确保格式合法) ✅ 对含>的纯文本,优先转义:,而非依赖 MarkupString 去“猜”你的意图替代方案比硬刚 MarkupString 更常用
多数场景下,与其折腾 MarkupString,不如用更 Blazor-native 的方式:
动态生成结构?用
或条件块:@foreach (var item in list) {@item.Name} 需要局部 HTML 插入?封装成子组件,用
RenderFragment参数接收内容 要渲染带样式的文本?考虑用 CSS 类 + 纯文本 +white-space: pre-wrap保留换行缩进基本上就这些。MarkupString 是个工具,不是银弹。用对了省事,用错了反而添乱。
以上就是Blazor MarkupString 的正确使用方法的详细内容,更多请关注创想鸟其它相关文章!
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
如发现本站有涉嫌抄袭侵权/违法违规的内容, 请发送邮件至 chuangxiangniao@163.com 举报,一经查实,本站将立刻删除。
发布者:程序猿,转转请注明出处:https://www.chuangxiangniao.com/p/1442924.html
微信扫一扫
支付宝扫一扫
