如何允许用户使用 ASP.net MVC 将 HTML 输入到特定字段中。
我有一个很长的表单,其中有很多字段映射到控制器中的这个复杂对象。
我想让一个字段(描述)允许使用 HTML,稍后我将自行整理。
【问题讨论】:
标签: asp.net-mvc validation validate-request
在你想要允许 HTML 的控制器中添加以下属性:
[ValidateInput(false)]
编辑:根据Charlino cmets:
在您的 web.config 中设置使用的验证模式。见MSDN:
<httpRuntime requestValidationMode="2.0" />
2014 年 9 月编辑: 根据sprinter252 cmets:
您现在应该使用[AllowHtml] 属性。见下文MSDN:
对于 ASP.NET MVC 3 应用程序,当您需要将 HTML 回传到 你的模型,不要使用 ValidateInput(false) 来关闭 Request 验证。只需将 [AllowHtml] 添加到您的模型属性中,如下所示:
public class BlogEntry { public int UserId {get;set;} [AllowHtml] public string BlogText {get;set;} }
【讨论】:
<httpRuntime requestValidationMode="2.0" />。
[AllowHtml] 属性上面的属性呢?
【讨论】:
MetadataTypeAttribute,并且更可取,因为它只允许在单个字段上而不是整个对象上使用 HTML。
添加到模型:
using System.Web.Mvc;
还有你的财产
[AllowHtml]
[Display(Name = "Body")]
public String Body { get; set; }
从我的角度来看,此代码是避免此错误的最佳方法。如果您使用的是 HTML 编辑器,则不会出现安全问题,因为它已经受到限制。
【讨论】:
在特定属性上添加[AllowHtml]是推荐的解决方案,因为有很多博客和cmets建议降低安全级别,这应该是不可接受的。
通过添加它,MVC 框架将允许控制器被命中并执行该控制器中的代码。
但是,这取决于您的代码、过滤器等如何生成响应以及是否有任何进一步的验证可能会触发另一个类似的错误。
无论如何,添加[AllowHtml] 属性是正确的答案,因为它允许在控制器中反序列化html。您的视图模型中的示例:
[AllowHtml]
public string MessageWithHtml {get; set;}
【讨论】:
我遇到了同样的问题,尽管我将[System.Web.Mvc.AllowHtml] 添加到一些答案中描述的相关属性中。
在我的例子中,我有一个UnhandledExceptionFilter 类访问请求对象之前 MVC 验证发生(因此 AllowHtml 无效)并且此访问引发[HttpRequestValidationException] A potentially dangerous Request.Form value was detected from the client。
这意味着,访问 Request 对象的某些属性会隐式触发验证(在我的例子中是 Params 属性)。
防止验证的解决方案记录在MSDN
要禁用请求中特定字段的请求验证(例如,对于输入元素或查询字符串值),请在获取项目时调用 Request.Unvalidated 方法,如下例所示
因此,如果你有这样的代码
var lParams = aRequestContext.HttpContext.Request.Params;
if (lParams.Count > 0)
{
...
改成
var lUnvalidatedRequest = aRequestContext.HttpContext.Request.Unvalidated;
var lForm = lUnvalidatedRequest.Form;
if (lForm.Count > 0)
{
...
或者只使用似乎不会触发验证的Form 属性
var lForm = aRequestContext.HttpContext.Request.Form;
if (lForm.Count > 0)
{
...
【讨论】:
如果您需要允许 action-method 参数(与“模型属性”相反)的 html 输入,则没有内置方法可以做到这一点,但您可以使用自定义模型绑定器轻松实现此目的:
public ActionResult AddBlogPost(int userId,
[ModelBinder(typeof(AllowHtmlBinder))] string htmlBody)
{
//...
}
AllowHtmlBinder 代码:
public class AllowHtmlBinder : IModelBinder
{
public object BindModel(ControllerContext controllerContext, ModelBindingContext bindingContext)
{
var request = controllerContext.HttpContext.Request;
var name = bindingContext.ModelName;
return request.Unvalidated[name]; //magic happens here
}
}
在我的博文中找到完整的源代码和解释:https://www.jitbit.com/alexblog/273-aspnet-mvc-allowing-html-for-particular-action-parameters/
【讨论】:
对数据进行 URL 编码也适用于我
例如
var data = '你好'
在发布前在浏览器中调用 encodeURIComponent(data)
在服务器调用 HttpUtility.UrlDecode(received_data) 进行解码
这样你就可以准确控制哪些字段区域允许有 html
【讨论】:
我在使用 NopCommerce 开发电子商务网站的过程中遇到了这个问题,我通过 3 种不同的方式得到了这个解决方案,就像之前的答案一样。但是根据 NopCommerce 的结构,我一次没有找到这三个。我刚刚看到他们在那里只使用[AllowHtml],它工作正常,除了任何问题。如前所述question
我个人不喜欢[ValidateInput(false)],因为我跳过了不安全的模型实体检查。但如果有人只写have a look here
[AllowHtml]
public string BlogText {get;set;}
然后它只跳过单个属性,只允许特定属性并且几乎不检查所有其他实体。因此,它似乎更适合我的。
【讨论】:
在我的例子中,AllowHtml 属性在与 OutputCache 操作过滤器结合使用时不起作用。 This answer 为我解决了这个问题。希望这对某人有所帮助。
【讨论】:
您可以将[AllowHtml] 用于您的项目,例如
[AllowHtml]
public string Description { get; set; }
为了使用这个代码到你安装这个包的类库
Install-Package Microsoft.AspNet.Mvc
使用后using
using System.Web.Mvc;
【讨论】:
【讨论】: