Codefluent使用richtext字段的潜在危险Request.Form值

时间:2015-11-11 22:42:14

标签: codefluent

添加多值(标志)枚举解决方案(效果很好,谢谢)之后

http://blog.codefluententities.com/tag/multi-enumeration-values/

对于我们的MVC项目,我们现在正在全面的richtext字段中获得可怕的“潜在危险Request.Form值”,我们用它来生成带有所见即所得编辑器的html(在本例中为summernote)。

如果我删除summernote并只提交纯文本,则字段可以正常工作,但是将任何html代码放入文本输入会产生错误。

幸运的是,错误来自刚刚为第246行的多枚举添加的代码(上图):

Exception Details: System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client (Description="...rem ipsum <strong>dolor</stron...").

Source Error: 

Line 244:                        continue;
Line 245:
Line 246:                    Add(name, nvc[name]);
Line 247:
Line 248:                }

编辑:

为清楚起见,这里是整个方法:

            private void AddRange(NameValueCollection nvc)
        {
            foreach (string name in nvc)
            {
                // handle MultiSelectList templates
                const string listSelectedToken = ".list.item.Selected";
                const string listValueToken = ".list.item.Value";
                if (name.EndsWith(listSelectedToken))
                {
                    List<bool> bools = CodeFluent.Runtime.Utilities.ConvertUtilities.SplitToList<bool>(nvc[name], ',');
                    string propertyName = name.Substring(0, name.Length - listSelectedToken.Length);
                    string valueKey = propertyName + listValueToken;
                    List<string> keys = CodeFluent.Runtime.Utilities.ConvertUtilities.SplitToList<string>(nvc[valueKey], ',');
                    int j = 0;
                    StringBuilder sb = new StringBuilder();
                    for (int i = 0; i < keys.Count; i++)
                    {
                        if (bools[j])
                        {
                            if (sb.Length > 0)
                            {
                                sb.Append(CodeFluentConfiguration.EntityKeyListSeparator);
                            }
                            sb.Append(keys[i]);
                            j++;
                        }
                        j++;
                    }
                    Add(propertyName, sb.ToString());
                    continue;
                }

                if (name.EndsWith(listValueToken))
                    continue;

                Add(name, nvc[name]);

            }
        }

我是否错过了多值实现中的某些内容?

谢谢,

拉​​斯

1 个答案:

答案 0 :(得分:0)

我不认为此错误与使用多值枚举有关。实际上,您为包含HTML标记(强)的Description字段发布了一个值。默认情况下,ASP.NET会阻止此操作并抛出验证异常。

如果您希望用户输入HTML,则必须指示ASP.NET授权HTML。

更改EntityValueProvider 

AddRange(context.HttpContext.Request.Unvalidated.Form); // Add Unvalidated
AddRange(context.HttpContext.Request.Unvalidated.QueryString);

或使用web.config:validateRequestrequestValidationMode 

<system.web>
  <pages validateRequest="false" />
  <httpRuntime requestValidationMode="2.0" />
</system.web>

使用AllowHtmlAttribute 

public class Sample
{
    [AllowHtml] 
    public string Description {get;set;}
}

ValidateInputAttribute 

[HttpPost, ValidateInput(true, Exclude = "Description")]
public ActionResult Edit(int id, FormCollection collection)
{
    ...
}
相关问题
最新问题