我正在使用ASP.NET MVC。
如何允许用户在文本框中输入HTML?
我将 validaterequest 设置为 false,但仍会出现以下错误:
“A potentially dangerous Request.Form value was detected from the client (Summary="").”
我知道这不是推荐的方法,但这是内部使用的。
2个回答
28
如果您在模型上使用DataAnnotations,可以使用
这可能比在操作级别上将ValidateInput设置为false更受推荐。
AllowHtml属性打开单个属性以允许HTML。请注意,此属性位于System.Web.Mvc命名空间中。这可能比在操作级别上将ValidateInput设置为false更受推荐。
- jlnorsworthy
3
4同意 @jlnorsworthy 的观点。使用 AllowHtml 属性。 - Tori Marrama
@jlnorsworthy 对,但是allowhtml不接受<a>标签。我该怎么办? - QMaster
[AllowHtml] 仍然存在脚本注入和 XSS 的漏洞。我开发了一个自定义注释来删除脚本和任何不需要的 HTML 标签:https://dev59.com/7GfWa4cB1Zd3GeqPjrZ0#44140165 - Tohid
15
在您的操作中添加ValidateInput(false)属性。
[ValidateInput(false)]
public ActionResult MyAction (int id, string content) {
}
- Gregoire
网页内容由stack overflow 提供, 点击上面的可以查看英文原文,
原文链接
原文链接