Zezwalaj użytkownikowi na wprowadzanie kodu HTML w ASP.NET MVC - ValidateInput lub AllowHtml

Jak mogę zezwolić użytkownikowi na wprowadzanie kodu HTML do określonego pola przy użyciu ASP.net MVC.

Mam długi formularz z wieloma polami, które są mapowane na ten złożony obiekt w kontrolerze.

Chciałbym, aby jedno pole (opis) zezwalało na HTML, na którym później wykonam własną higienę.

Dodaj następujący atrybut akcja (post) w kontrolerze, dla którego chcesz zezwolić na HTML:

[ValidateInput(false)] 

Edycja: zgodnie z komentarzami Charlino :

W pliku web.config ustaw używany tryb sprawdzania poprawności. Zobacz MSDN :

<httpRuntime requestValidationMode="2.0" />

Edycja września 2014: Zgodnie z komentarzami sprintera252 :

Powinieneś teraz użyć [AllowHtml]atrybutu. Zobacz poniżej z MSDN :

W przypadku aplikacji ASP.NET MVC 3, gdy musisz opublikować kod HTML z powrotem do modelu, nie używaj ValidateInput (false), aby wyłączyć weryfikację żądania. Po prostu dodaj [AllowHtml] do właściwości modelu, na przykład:

public class BlogEntry {
    public int UserId {get;set;}
    [AllowHtml] 
    public string BlogText {get;set;}
 }

A co z [AllowHtml]atrybutem powyżej właściwości?

Dodaj do modelu:

using System.Web.Mvc;

I do twojej własności

        [AllowHtml]
        [Display(Name = "Body")]
        public String Body { get; set; }

Ten kod z mojego punktu widzenia jest najlepszym sposobem uniknięcia tego błędu. Jeśli używasz edytora HTML, nie będziesz mieć problemów z bezpieczeństwem, ponieważ jest on już ograniczony.

Dodanie [AllowHtml]określonej właściwości jest zalecanym rozwiązaniem, ponieważ istnieje wiele blogów i komentarzy sugerujących obniżenie poziomu bezpieczeństwa, co powinno być niedopuszczalne.

Dodając to, struktura MVC pozwoli na trafienie kontrolera i wykonanie kodu w tym kontrolerze.

Zależy to jednak od kodu, filtrów itp., W jaki sposób generowana jest odpowiedź i czy istnieje dalsza weryfikacja, która może wywołać inny podobny błąd.

W każdym razie dodanie [AllowHtml]atrybutu jest właściwą odpowiedzią, ponieważ pozwala na deserializację html w kontrolerze. Przykład w Twoim modelu widoku:

[AllowHtml]
public string MessageWithHtml {get; set;}

Napotkałem ten sam problem, chociaż dodałem [System.Web.Mvc.AllowHtml]do dotyczącego właściwości, jak opisano w niektórych odpowiedziach.

W moim przypadku mam UnhandledExceptionFilterklasę, która uzyskuje dostęp do obiektu Request przed przeprowadzeniem walidacji MVC (a zatem AllowHtml nie ma wpływu) i ten dostęp wywołuje [HttpRequestValidationException] A potentially dangerous Request.Form value was detected from the client.

Oznacza to, że dostęp do niektórych właściwości obiektu Request niejawnie wywołuje walidację (w moim przypadku jest to Paramswłaściwość).

Rozwiązanie zapobiegające sprawdzaniu poprawności jest udokumentowane w witrynie MSDN

Aby wyłączyć sprawdzanie poprawności żądania dla określonego pola w żądaniu (na przykład dla elementu wejściowego lub wartości ciągu zapytania), wywołaj metodę Request.Unvalidated po otrzymaniu elementu, jak pokazano w poniższym przykładzie

Dlatego jeśli masz taki kod

var lParams = aRequestContext.HttpContext.Request.Params;
if (lParams.Count > 0)
{
  ...

zmień to na

var lUnvalidatedRequest = aRequestContext.HttpContext.Request.Unvalidated;

var lForm = lUnvalidatedRequest.Form;
if (lForm.Count > 0)
{
  ...

lub po prostu użyj Formwłaściwości, która nie wydaje się uruchamiać walidacji

var lForm = aRequestContext.HttpContext.Request.Form;
if (lForm.Count > 0)
{
  ...

Jeśli chcesz zezwolić na wprowadzanie html dla parametru metody akcji (w przeciwieństwie do „właściwości modelu”), nie ma na to wbudowanego sposobu, ale możesz to łatwo osiągnąć za pomocą niestandardowego spinacza modelu:

public ActionResult AddBlogPost(int userId,
    [ModelBinder(typeof(AllowHtmlBinder))] string htmlBody)
{
    //...
}

Kod AllowHtmlBinder:

public class AllowHtmlBinder : IModelBinder
{
    public object BindModel(ControllerContext controllerContext, ModelBindingContext bindingContext)
    {
        var request = controllerContext.HttpContext.Request;
        var name = bindingContext.ModelName;
        return request.Unvalidated[name]; //magic happens here
    }
}

Znajdź pełny kod źródłowy i wyjaśnienie w moim poście na blogu: https://www.jitbit.com/alexblog/273-aspnet-mvc-allowing-html-for-particular-action-parameters/

Kodowanie URL danych działa również dla mnie

Na przykład

var data = '<b> Witaj </b>'

W przeglądarce wywołaj encodeURIComponent (dane) przed wysłaniem

Na serwerze wywołaj HttpUtility.UrlDecode (received_data), aby zdekodować

W ten sposób możesz dokładnie kontrolować, który obszar pól może mieć kod HTML

Spotkałem się z tym problemem podczas tworzenia witryny e-commerce przy użyciu NopCommerce, otrzymałem to rozwiązanie na 3 różne sposoby, tak jak poprzednie odpowiedzi. Ale zgodnie ze strukturą NopCommerce nie znalazłem tych trzech na raz. Właśnie zobaczyłem, że właśnie tam używają [AllowHtml]i działa dobrze, z wyjątkiem każdego problemu. Jak poprzednio zadane pytanie

Osobiście nie wolę, [ValidateInput(false)]ponieważ pomijam sprawdzanie całości modelu, co jest niebezpieczne. Ale jeśli ktoś tylko napisze , zajrzyj tutaj

[AllowHtml] 
public string BlogText {get;set;}

wtedy po prostu pomija tylko jedną właściwość i zezwala tylko na określoną właściwość i nie sprawdza prawie wszystkich innych jednostek. Dlatego wydaje się lepszy od mojego.

W moim przypadku atrybut AllowHtml nie działał w połączeniu z filtrem akcji OutputCache. Ta odpowiedź rozwiązała problem za mnie. Mam nadzieję, że to komuś pomoże.

Możesz użyć [AllowHtml]do swojego projektu na przykład

 [AllowHtml]
 public string Description { get; set; }

Aby użyć tego kodu do biblioteki klas, należy zainstalować ten pakiet

Install-Package Microsoft.AspNet.Mvc

Po użyciu tego using

using System.Web.Mvc;

Żadna z odpowiedzi tutaj niestety nie zadziałała.

Skończyło się na tym, że użyłem niestandardowego powiązania modelu i użyłem zewnętrznego środka dezynfekującego.

Zobacz mój własny odpowiedział na pytanie tutaj .