Question

A potentially dangerous Request.Form value was detected from the client (Body="<b></b>").

Эта ошибка возникает, когда я пытаюсь ввести что-то вроде <b></b> в поле для комментариев и отправить его.Я искал, и единственное, что я нахожу, это отключить проверку опасных данных в целом, но я не хочу отключать ее с тех пор, как мой сайт будет уязвим.Я хочу закодировать его перед отправкой или что-то в этом духе, чтобы он отправлял только что закодированные данные.

Richard Forrest · Answer 1 · 26 июля 2011

Если вы используете .net 4, вы можете украсить свою модель с помощью [AllowHtml], который пропустит только это конкретное свойство.Затем вы можете очистить его в логике контроллера.

public class MyViewModel
{
    public string prop1 { get; set; }

    [AllowHtml]
    public string prop2 { get; set; }
}

Tim · Answer 2 · 26 июля 2011

Почему бы просто не использовать метод HttpUtility.HtmlEncode?

string encodedHTML = HttpUtility.HtmlEncode(unencodedString)

Вы также можете заглянуть в Microsoft Anti-XSS Library .

nWorx · Answer 3 · 26 июля 2011

как насчет добавления события javascript к кнопке отправки, которая кодирует текстовые значения перед отправкой формы?

попробуйте encodeURI или encodeUriComponent

Кодировать HTML перед отправкой в контроллер / БД

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Кодировать HTML перед отправкой в ​​контроллер / БД

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов

Кодировать HTML перед отправкой в контроллер / БД