Asp.net MVC Markdown编辑器和Html.Encode

Question

我可能误解了这一点，但据我所知，markdown编辑器会去掉所有的html。

然后使用markdown.Transform()类型的方法将该数据库存储的标记转换为具有h1、p等的html。

对于asp.net MVC，一般规则是Html.Encode everything。

但是，当使用Markdown编辑器时，这是否仍然适用，因为转换后的markdown作为Html.Encoding将使生成的html无用？

Answer 1

HTML.Encode一切都是针对潜在的不安全内容，通常是用户输入的任何内容，如果生成了HTML并且输入是可信的(例如，通过剥离HTML的东西运行，通过XSS库运行)，那么您可以安全地不对其进行编码。更明确地说，您可以返回一个MvcHtmlString而不是一个字符串。