ASP.NET и HTML / XML в контрольном тексте

Question

У меня есть несколько веб-форм, которые должны быть в состоянии принять ввод XML (содержащий, конечно, символы < и >, которые, как я считаю, вызывают проблемы). Однако в настоящее время всякий раз, когда я нажимаю кнопку отправки, и одно из полей формы содержит этот вид ввода, выдается исключение Sys.WebForms.PageRequestManagerServerErrorException с кодом 500. Если на входе нет < и >, все идет гладко. Как я могу обойти это?

Answer 1

Я бы с осторожностью отключил проверку страницы. Вместо этого посмотрите HTML-кодировку текста.

Answer 2

Каждый раз, когда вы имеете дело с вводом HTML / XML пользователем, вы должны быть предельно осторожны и быть уверенными, что тщательно очистите ввод.

Различные веб-элементы управления реализуют (или не используют) HtmlEncoding по умолчанию.Взгляните на Какие элементы управления ASP.NET автоматически кодируют? для получения подробного списка.

Я бы также рекомендовал взглянуть на Microsoft Anti-Cross Site Scripting Library .

Можете ли вы отредактировать свой вопрос и опубликовать часть кода (и, возможно, пример ввода, который вызывает ошибку)?< и > могут быть причиной, но это может быть и красная сельдь.

Answer 3

Если вы по-прежнему хотите, чтобы проверка запроса страницы работала должным образом (т. Е. Без установки значения false), вы всегда можете заменить символы <&> символами и заменить их обратно с сервера.

Answer 4

Проверка запроса включена по умолчанию.Вы можете отключить все страницы, используя web.config:

<configuration> 
      <system.web> 
           <pages validateRequest="false" /> 
      </system.web> 
</configuration>

или просто на этой странице, добавив его в директиву:

<%@ Page validateRequest="false" %>