【发布时间】:2010-02-10 16:20:10
【问题描述】:
我正在使用 ASP.NET MVC。
如何允许用户在文本框中输入 HTML?
我将validaterequest 设置为false 仍然出现此错误:
从客户端检测到具有潜在危险的 Request.Form 值 (Summary="
<a>")。
我知道它不推荐等等,但它是供内部使用的。
【问题讨论】:
标签: asp.net asp.net-mvc
【发布时间】:2010-02-10 16:20:10
【问题描述】:
如果您在模型上使用 DataAnnotations,则可以使用 AllowHtml attribute 打开单个属性以允许 HTML。请注意,此属性位于 System.Web.Mvc 命名空间中。
这可能会被推荐而不是在操作级别将 ValidateInput 设置为 false。
【讨论】:
-
同意@jlnorsworthy。使用 AllowHtml 属性。
-
@jlnorsworthy 正确,但 allowhtml 不接受 标签。我能做什么?
-
[AllowHtml] 仍然为脚本注入和 XSS 打开了一个漏洞。我开发了一个自定义注释来删除脚本和任何不需要的 HTML 标签:stackoverflow.com/a/44140165/538387
将ValidateInput(false) 属性添加到您的操作中
[ValidateInput(false)]
public ActionResult MyAction (int id, string content) {
}
【讨论】: