在我的自定义模型活页夹中,我使用
bindingContext.ValueProvider.GetValue(propertyName);
我对该操作有 [ValidateInput(false)] 。但是,上面的GetValue调用会导致
从客户端检测到潜在危险的Request.QueryString值
如何让我的自定义模型绑定器从值提供程序中获取未经验证的值?当然,当它发现动作上有ValidateInput(false)时。
答案 0 :(得分:1)
万一有人好奇,这是一个快速的解决方案。只需在BindModel / BindProperty方法中调用CheckUnvalidated()即可。这将使用未经验证的版本替换默认的QueryStringValueProvider。
MethodInfo GetActionMethod(ControllerContext controllerContext)
{
var action = controllerContext.RouteData.Values["action"] as string;
return controllerContext.Controller.GetType().GetMethods().FirstOrDefault(x => x.Name == action ||
x.GetCustomAttribute<ActionNameAttribute>().SafeGet(a => a.Name) == action);
}
void CheckUnvalidated(ControllerContext controllerContext, ModelBindingContext bindingContext)
{
var method = GetActionMethod(controllerContext);
if (method == null)
return;
if (method.GetCustomAttribute<ValidateInputAttribute>().SafeGet(x => x.EnableValidation, true))
return;
var collection = bindingContext.ValueProvider as ValueProviderCollection;
if (collection == null)
return;
var old = collection.OfType<QueryStringValueProvider>().FirstOrDefault();
if (old != null)
collection.Remove(old);
collection.Add(new UnvalidatedQueryStringValueProvider(controllerContext));
}
class UnvalidatedQueryStringValueProvider : NameValueCollectionValueProvider
{
public UnvalidatedQueryStringValueProvider(ControllerContext controllerContext)
: base(controllerContext.HttpContext.Request.Unvalidated().QueryString, CultureInfo.InvariantCulture)
{
}
}