允许在文本框中使用html和特殊字符。从客户端检测到具有潜在危险的Request.Form值

Question

ASP.NET在请求中检测到有潜在危险的数据，因为它可能包含HTML标记或脚本。这些数据可能表示有人试图损害应用程序的安全性，例如跨站点脚本攻击。如果此类型的输入适用于您的应用程序，则可以在网页中包含代码以显式允许这种输入

Answer 1

除非禁用给定控制器方法的验证，否则ASP.NET将不接受已发布数据中的超文本标记语言。

就像这样

[ValidateInput(false)]
[HttpPost]
public ActionResult DoStuff(InputModel model)

另一种方法是对可能包含HTML的InputModel属性使用AllowHtml

public class InputModel {
[AllowHtml]
public string HtmlData { get; set; }
public string PlainTextData { get; set; }

最后一种方法是最安全的，它只允许在一个特定的属性上使用HTML。第一种方法允许在InputModel类的所有字符串属性上使用HTML语言，包括PlainTextData

Answer 2

MVC的在控制器上使用ValidateInput(false)

[HttpPost]
[ValidateInput(false)]
public ActionResult AddEditFormDetails(Model model)
{}

网页表单在控件中使用validateRequest=“false

<asp:TextBox ID="txtCustodyArrangement" validateRequest="false" runat="server" Width="100%" />