Codificação de e comercial de URL de configuração do .NET Core

Por favor, tente window.open("@(Html.Raw(_config["MapLookupURL"]))" + "Seoul");.

Aqui está o resultado do meu teste com os códigos abaixo:

@using Microsoft.Extensions.Configuration
@inject IConfiguration _config
@{
    ViewData["Title"] = "Home Page";
}

<div class="text-center">
    <h1 class="display-4">Welcome</h1>
    <p>Learn about <a href="https://docs.microsoft.com/aspnet/core">building Web apps with ASP.NET Core</a>.</p>
</div>

<button id="btn1">click to search</button>
<div id="cont1">@_config["MapLookupURL"]</div>

@section Scripts{
    <script>
        $("#btn1").click(function () {
            var a = @_config["MapLookupURL"];
            var b = "@Html.Raw(_config["MapLookupURL"])";
            console.info(a);
            window.open("https://www.google.com/maps/search/?api=1&query=" + "Seoul");
            // window.open("@_config["MapLookupURL"]" + "Seoul");
        })
    </script>
}

Você verá que quando a página carrega, ela já converte o núcleo do asp.net disponível em js em conteúdo HTML simples. Enquanto isso, o Razor codifica automaticamente em HTML qualquer saída de string para evitar ataques de cross-site scripting (XSS). É por isso que pudemos ver <div id="cont1">@_config["MapLookupURL"]</div>bem (o navegador poderia mostrar as codificações diretamente), mas <script>isso não acontece. A solução alternativa é usar @Html.Raw(_config["MapLookupURL"])which gera a string bruta e não codificada.