ASP.NET MVC使用自定义模型绑定器时,从客户端检测到一个潜在危险的Request.Form值

时间:2013-06-22 19:08:11

标签: asp.net-mvc custom-model-binder

在此处获取错误:

ValueProviderResult value = bindingContext.ValueProvider.GetValue("ConfirmationMessage");

如何仅允许选择值?即。

[ValidateInput(false)]
public object BindModel(ControllerContext controllerContext, ModelBindingContext bindingContext)
{
    ValueProviderResult value = bindingContext.ValueProvider.GetValue("ConfirmationMessage");
    ValueProviderResult value2 = bindingContext.ValueProvider.GetValue("ConfirmationMessage2");
}

5 个答案:

答案 0 :(得分:205)

您有几个选择。

在模型上将此属性添加到您需要允许HTML的每个属性 - 最佳选择 

using System.Web.Mvc;

[AllowHtml]
public string SomeProperty { get; set; }

在控制器操作上添加此属性以允许所有HTML 

[ValidateInput(false)]
public ActionResult SomeAction(MyViewModel myViewModel)

web.config中的暴力 - 绝对不推荐

在web.config文件中,在标记内插入httpRuntime元素,其属性为requestValidationMode =“2.0”。还要在pages元素中添加validateRequest =“false”属性。

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>

更多信息:http://davidhayden.com/blog/dave/archive/2011/01/16/AllowHtmlAttributeASPNETMVC3.aspx

以上适用于默认模型绑定器的用法。

自定义ModelBinder

看起来上面代码中对bindingContext.ValueProvider.GetValue()的调用总是验证数据,无论属性如何。深入研究ASP.NET MVC源显示DefaultModelBinder首先检查是否需要请求验证,然后使用指示是否需要验证的参数调用bindingContext.UnvalidatedValueProvider.GetValue()方法。

不幸的是我们不能使用任何框架代码,因为它是密封的,私有的或任何保护无知的开发人员不做危险的东西,但是创建一个尊重AllowHtml和ValidateInput属性的工作自定义模型绑定器并不太难: 

public class MyModelBinder: IModelBinder
{
    public object BindModel(ControllerContext controllerContext, ModelBindingContext bindingContext)
    {
        // First check if request validation is required
        var shouldPerformRequestValidation = controllerContext.Controller.ValidateRequest && bindingContext.ModelMetadata.RequestValidationEnabled;

        // Get value
        var valueProviderResult = bindingContext.GetValueFromValueProvider(shouldPerformRequestValidation);
        if (valueProviderResult != null)
        {
            var theValue = valueProviderResult.AttemptedValue;

            // etc...
        }
    }
}

另一个必需的部分是检索未经验证的值的方法。在这个例子中,我们使用ModelBindingContext类的扩展方法:

public static class ExtensionHelpers
{
    public static ValueProviderResult GetValueFromValueProvider(this ModelBindingContext bindingContext, bool performRequestValidation)
    {
        var unvalidatedValueProvider = bindingContext.ValueProvider as IUnvalidatedValueProvider;
        return (unvalidatedValueProvider != null)
          ? unvalidatedValueProvider.GetValue(bindingContext.ModelName, !performRequestValidation)
          : bindingContext.ValueProvider.GetValue(bindingContext.ModelName);
    }
}

有关http://blogs.taiga.nl/martijn/2011/09/29/custom-model-binders-and-request-validation/

的更多信息

答案 1 :(得分:29)

尝试:

HttpRequestBase request = controllerContext.HttpContext.Request;
string re = request.Unvalidated.Form.Get("ConfirmationMessage")

答案 2 :(得分:2)

扩展@DW的答案,在我的编辑控制器中,在迭代表单值时,我不得不用Request.Params.AllKeysRequest.Unvalidated.Form.AllKeys的所有实例替换Request[key]的所有实例Request.Unvalidated.Form[key]

这是唯一对我有用的解决方案。

答案 3 :(得分:-1)

正如Mike Godin所写,即使您设置了[ValidateInput(false)]属性,也必须使用 Request.Unvalidated.Form 而不是 Request.Form 这对我来说与ASP.NET MVC 5兼容

答案 4 :(得分:-5)

以下是在客户端级别进行编码并在服务器级别对其进行解码的步骤:

  1. 使用jquery提交方法发布表单。

  2. 在jquery按钮单击事件方法编码要发布到服务器的字段。示例:

    $("#field").val(encodeURIComponent($("#field").val()))
$("#formid").submit();

  3. 在Controller Level中使用

    访问所有表单id值 
    HttpUtility.UrlDecode(Request["fieldid"])

    4. 示例示例:

    • 控制器级别:

      public ActionResult Name(string id)
{

    CheckDispose();
    string start = Request["start-date"];
    string end = Request["end-date"];
    return View("Index", GetACPViewModel(HttpUtility.UrlDecode(Request["searchid"]), start, end));
}

    • 客户级:

      <% using (Html.BeginForm("Name", "App", FormMethod.Post, new { id = "search-form" }))
{ %>
<div>
<label  for="search-text" style="vertical-align: middle" id="search-label" title="Search for an application by name, the name for who a request was made, or a BEMSID">App, (For Who) Name, or BEMSID: </label>
<%= Html.TextBox("searchid", null, new {value=searchText, id = "search-text", placeholder = "Enter Application, Name, or BEMSID" })%>
</div>
<div>
<input id="start-date" name="start-date" class="datepicker" type="text"  placeholder="Ex: 1/1/2012"/>
</div>
<div>
<input id="end-date" name="end-date" class="datepicker" type="text"  placeholder="Ex: 12/31/2012"/>
</div>
<div>
<input type="button" name="search" id="btnsearch" value="Search" class="searchbtn" style="height:35px"/>
</div> 
<% } %>

    在文档就绪功能中:

    $(function () {     
  $("#btnsearch").click(function () {  
    $("#search-text").val(encodeURIComponent($("#search-text").val()));
    $("#search-form").submit();
  });
});
相关问题
最新问题