Kullanıcının ASP.NET MVC'de HTML girmesine izin ver - ValidateInput veya AllowHtml

Bir kullanıcının ASP.net MVC'yi kullanarak belirli bir alana HTML girmesine nasıl izin verebilirim.

Denetleyicideki bu karmaşık nesneye eşlenen birçok alana sahip uzun bir formum var.

Daha sonraki bir noktada kendi temizliğimi önceden şekillendireceğim bir alanın (açıklama) HTML'ye izin vermesini istiyorum.

HTML'ye izin vermek istediğiniz denetleyiciye aşağıdaki özniteliği (post) ekleyin:

[ValidateInput(false)] 

Düzenleme: gereğince Charlino yorumlarla:

Web.config dosyanızda kullanılan doğrulama modunu ayarlayın. MSDN'ye bakın :

<httpRuntime requestValidationMode="2.0" />

Düzenleme Eylül 2014: gereğince sprinter252 yorumlarla:

Şimdi [AllowHtml]özniteliği kullanmalısınız . MSDN'den aşağıya bakın :

ASP.NET MVC 3 uygulamaları için, HTML'yi modelinize geri göndermeniz gerektiğinde, İstek Doğrulaması'nı kapatmak için ValidateInput (false) kullanmayın. Model mülkünüze [AllowHtml] eklemeniz yeterlidir, örneğin:

public class BlogEntry {
    public int UserId {get;set;}
    [AllowHtml] 
    public string BlogText {get;set;}
 }

[AllowHtml]Mülkiyetin üzerindeki öznitelik ne olacak ?

Modele ekle:

using System.Web.Mvc;

Ve mülkünüze

        [AllowHtml]
        [Display(Name = "Body")]
        public String Body { get; set; }

Bu kod benim açımdan bu hatayı önlemenin en iyi yolu. HTML düzenleyici kullanıyorsanız, zaten kısıtlanmış olduğundan güvenlik sorunları yaşamazsınız.

[AllowHtml]Kabul edilemez olması gereken güvenlik düzeyini düşürmeyi öneren çok sayıda blog ve yorum bulunduğundan, belirli özelliğe eklemek önerilen çözümdür.

Bunu ekleyerek, MVC çerçevesi Denetleyicinin vurulmasına ve denetleyicideki kodun çalıştırılmasına izin verecektir.

Ancak, kodunuza, filtrelerinize, vb. Yanıtın nasıl oluşturulduğuna ve başka bir benzer hatayı tetikleyebilecek başka bir doğrulama olup olmadığına bağlıdır.

Her durumda, [AllowHtml]html'nin denetleyicide serileştirilmesinin kaldırılmasına izin verdiği için öznitelik eklemek doğru yanıttır. Görünüm modelinizdeki örnek:

[AllowHtml]
public string MessageWithHtml {get; set;}

[System.Web.Mvc.AllowHtml]Bazı cevaplarda anlatıldığı gibi ilgili mülke eklememe rağmen aynı sorunla karşılaştım .

Benim durumumda, MVC doğrulaması gerçekleşmeden önceUnhandledExceptionFilter Request nesnesine erişen bir sınıfa sahibim (ve bu nedenle AllowHtml etkisizdir) ve bu erişim bir .[HttpRequestValidationException] A potentially dangerous Request.Form value was detected from the client

Bu, bir Request nesnesinin belirli özelliklerine erişmenin dolaylı olarak doğrulamayı başlattığı anlamına gelir (benim durumumda, Paramsözelliği).

Doğrulamayı önlemek için bir çözüm MSDN'de belgelenmiştir

Bir istekteki belirli bir alan için istek doğrulamasını devre dışı bırakmak için (örneğin, bir giriş öğesi veya sorgu dizesi değeri için), aşağıdaki örnekte gösterildiği gibi öğeyi aldığınızda Request.Unvalidated yöntemini çağırın

Bu nedenle, böyle bir kodunuz varsa

var lParams = aRequestContext.HttpContext.Request.Params;
if (lParams.Count > 0)
{
  ...

şuna değiştir

var lUnvalidatedRequest = aRequestContext.HttpContext.Request.Unvalidated;

var lForm = lUnvalidatedRequest.Form;
if (lForm.Count > 0)
{
  ...

veya sadece Formdoğrulama başlatmıyor gibi görünen mülkü kullanın

var lForm = aRequestContext.HttpContext.Request.Form;
if (lForm.Count > 0)
{
  ...

Eylem yöntemi parametresi için ("model özelliği" nin aksine) html girdisine izin vermeniz gerekiyorsa, bunu yapmanın yerleşik bir yolu yoktur, ancak bunu özel bir model bağlayıcı kullanarak kolayca elde edebilirsiniz:

public ActionResult AddBlogPost(int userId,
    [ModelBinder(typeof(AllowHtmlBinder))] string htmlBody)
{
    //...
}

AllowHtmlBinder kodu:

public class AllowHtmlBinder : IModelBinder
{
    public object BindModel(ControllerContext controllerContext, ModelBindingContext bindingContext)
    {
        var request = controllerContext.HttpContext.Request;
        var name = bindingContext.ModelName;
        return request.Unvalidated[name]; //magic happens here
    }
}

Tam kaynak kodunu ve açıklamayı blog yazımda bulun: https://www.jitbit.com/alexblog/273-aspnet-mvc-allowing-html-for-particular-action-parameters/

Verilerin URL Kodlaması benim için de iyi çalışıyor

Örneğin

var data = '<b> Merhaba </b>'

Tarayıcıda, göndermeden önce encodeURIComponent (veri) çağrısı

Sunucuda kodu çözmek için HttpUtility.UrlDecode (alınan_data) çağırın

Bu şekilde tam olarak hangi alanların html'ye sahip olmasına izin verildiğini kontrol edebilirsiniz.

NopCommerce kullanarak bir E-Ticaret sitesi geliştirirken bu sorunla karşılaştım, bu çözümü önceki cevaplarda olduğu gibi 3 farklı yoldan aldım. Ancak NopCommerce yapısına göre bu üçünü aynı anda bulamadım. Orada sadece kullandıklarını [AllowHtml]ve herhangi bir sorun dışında iyi çalıştığını gördüm . Daha önce sorulan soru gibi

Kişisel olarak tercih etmiyorum [ValidateInput(false)]çünkü güvensiz olan toplam model varlık kontrolünü atlıyorum. Ama sadece yazan biri buraya bir göz atarsa

[AllowHtml] 
public string BlogText {get;set;}

o zaman sadece tek bir mülkü atlar ve yalnızca belirli bir mülke izin verir ve hemen hemen tüm diğer varlıkları kontrol eder. Bu nedenle benimkine tercih edilebilir görünüyor.

Benim durumumda, AllowHtml özniteliği OutputCache eylem filtresiyle birleştirildiğinde çalışmıyordu. Bu cevap benim için sorunu çözdü. Umarım bu birine yardımcı olur.

[AllowHtml]Projenize Örnek Olarak Kullanabilirsiniz

 [AllowHtml]
 public string Description { get; set; }

Bu Paketi Kurduğunuz Sınıf Kitaplığı İçin Bu Kodu Kullanmak İçin

Install-Package Microsoft.AspNet.Mvc

Bunu Kullandıktan Sonra using

using System.Web.Mvc;

Maalesef buradaki cevapların hiçbiri benim için işe yaramadı.

Custom Model Binding'i kullanmayı bıraktım ve üçüncü taraf bir Sanitizer kullandım.

Kendi kendine yanıtladığım sorumu burada görün .