MVC 5在验证html编码的已发布表单输入时遇到问题
我有一个带有字符串属性的视图模型:
[StringLength(10)]
public string phone { get; set; }
在视图中:
@Html.EditorFor(x => x.phone)
如果我输入'+12'并提交,'phone'是html编码并且控制器获得
,所以我必须在保存到数据库之前解码:
HttpUtility.HtmlDecode(phone);
这是正常行为吗?
另一个问题是输入'+123456789'会导致字符串长度检查失败,因为它已被编码。
你会如何处理?
编辑:
我的控制器操作如下:
[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult Edit([Bind(Include = "phone")] MyViewModel vm)
EDIT2:
我使用的是自定义模板,默认情况下将清理模块添加到Application_Start()中的ModelBinders,这导致了问题。正如garryp指出的那样,一旦我摆脱了自定义绑定器并且控制器正在获取用户输入的精确字符串,框架就会处理它。我不确定编码/解码实际上是在输入的字符串上发生的..
1 个答案:
答案 0 :(得分:1)
HtmlDecode值不应该是必要的;框架应该解决这个问题。通常,您将未编码的值存储在数据库中,并仅在UI上对其进行编码(以防止XSS攻击等)。
我会检查以下内容:
- 您是否允许框架为您解析模型?即你的动作是否在签名中有模型,或者你使用的是Request.Form,还是一些类似的机制?
- 您是否对该值进行了两次编码?它在返回服务器时会被解码一次。
- 您如何将值传递回服务器?您是否在控制器Action中传递了大量字符串标志?
相关问题
最新问题
- 我写了这段代码,但我无法理解我的错误
- 我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?
- 是否有可能使 loadstring 不可能等于打印?卢阿
- java中的random.expovariate()
- Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
- 为什么我的 Onclick 箭头功能在 React 中不起作用?
- 在此代码中是否有使用“this”的替代方法?
- 在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化
- 每千个数字得到
- 更新了城市边界 KML 文件的来源?