使用MVC,EF 4.2。我正在研究一個有評論部分的應用程序。現在,如果用戶輸入包含HTML的評論,例如如何讓用戶輸入html註釋
<b>text</b>
和點擊提交我得到的消息 「檢測到ptentially危險的Request.Form值...」
我看過關於此事的一些職位,其中包括一些在這裏SO - this one和this one
理想的情況下,我希望能夠讓html標籤數量有限,如EM強, 一個。反XSS,HTML敏捷性,某種BB代碼或降價樣式編輯器是否仍然是推薦的方式?我知道傑夫有一個白名單的代碼 - 但它已經有幾年了。
你可以做
[ValidateInput(false)]
public ActionResult foo()
{
}
,或者你可以用AllowHtml
public class Foo
{
[AllowHtml]
public string bar{ get; set; }
}
裝飾模型屬性您可能還需要設置你的web.config中requestValidationMode:
</system.web>
<httpRuntime requestValidationMode="2.0" />
</system.web>
有關更多詳細信息,請參見this link。
MVC有一個屬性,允許您指定一個屬性應該允許html而不會完全禁用驗證。這仍然是危險的,但它可以被限制在一個單一的財產,所以風險可以減輕。這裏是MSDN article for the AllowHtmlAttribute。該屬性的正確用法應該是裝飾適當的屬性在你的模型:
public class MyModel
{
public MyModel()
{
}
// Some other stuff in here
[AllowHtml]
[HttpPost]
public string MyHtmlString { get; set; }
}
我的允許HTML incomments解決辦法如下:
我看了那些屬性,但他們不會允許通過評論提交XSS和惡意代碼的可能性? –
這是折衷的,如果你使用舊的視圖引擎(我忘了名字),你可以編寫'<%:Html.TextBoxFor%>'它會編碼這個值,或者如果你使用的是razor'@'語法它將編碼html – Rafay
如果您擔心xss和其他代碼查看[Microsoft的Anti-XSS](http://wpl.codeplex.com/)庫 – Buildstarted