彻底解决“从客户端中检测到有潜在危险的Request.Form值”

最新推荐文章于 2022-09-26 10:10:10 发布
最新推荐文章于 2022-09-26 10:10:10 发布
阅读量238 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: 前端 后端 ViewUI
原文链接:http://www.cnblogs.com/s0611163/p/5542753.html
本文介绍了一种前后端配合解决HTML特殊字符导致验证失败的方法。前端使用自定义encodeHtml函数对输入进行编码,后端使用对应的DecodeHtml方法解码,确保数据正确传递并展示。同时提供了解码过程中保持样式完整的技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

    类似设置validateRequest="false"的方法不推荐,因为应用程序需要显式检查所有输入,不方便。

    1、前端使用encodeHtml函数对字符串进行编码,例:

var editor = $("textarea[name='editorValue']");
$("#contents").val(encodeHtml(editor.val()));
var formData = new FormData($("#frm")[0]);

    2、后端使用HtmlUtil.DecodeHtml方法进行解码,例:

model.contents = HtmlUtil.DecodeHtml(model.contents);

    3、View页面展示在编辑器中,例:

ue.addListener('ready', function (editor) {
    var contents = decodeHtml("@content.contents");
    ue.setContent(contents);
});
 JS方法decodeHtml代码:
function encodeHtml(val) {
    return val.replace(/&/g, "&")
              .replace(/</g, "&lt;")
              .replace(/>/g, "&gt;");
}

function decodeHtml(val) {
    return val.replace(/&amp;/g, "&")
              .replace(/&lt;/g, "<")
              .replace(/&gt;/g, ">")
              .replace(/&#039;/g, "'")
              .replace(/&quot;/g, "\"");
}

    说明:上面的encodeHtml和decodeHtml方法有点绕人,因为这两个方法不对称,encodeHtml方法少了.replace(/'/g, "&#039;").replace(/\"/g, "&quot;")。编码的目的,是为了绕过验证,而导致验证不通过的原因是因为某些html标签,也就是说当字符串中含有<、>、&#039;之类的标识时,就会验证不通过,所以只需把&、<、>这三个替换掉就可以了。如果加上.replace(/'/g, "&#039;").replace(/\"/g, "&quot;"),则又会导致出现$#039;从而导致验证不通过,所以encodeHtml方法只替换3个。但解码多替换了两个,这是必需的,否则<span style="font-size:20px;"></span>在百度编辑器中显示会变成<span></span>从而造成style样式的丢失。

    HtmlUtil.DecodeHtml方法代码:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Text;

namespace Common.Utils
{
    /// <summary>
    /// HTML工具类
    /// </summary>
    public class HtmlUtil
    {
        #region html编码
        /// <summary>
        /// html编码
        /// </summary>
        public static string EncodeHtml(string html)
        {
            return html.Replace("&", "&amp;")
                       .Replace("<", "&lt;")
                       .Replace(">", "&gt;")
                       .Replace("'", "&#039;")
                       .Replace("\"", "&quot;");
        }
        #endregion

        #region html解码
        /// <summary>
        /// html解码
        /// </summary>
        public static string DecodeHtml(string html)
        {
            return html.Replace("&amp;", "&")
                       .Replace("&lt;", "<")
                       .Replace("&gt;", ">")
                       .Replace("&#039;", "'")
                       .Replace("&quot;", "\"");
        }
        #endregion

    }
}
View Code

 



转载于:https://www.cnblogs.com/s0611163/p/5542753.html

mvc从客户端检测到有潜在危险Request.Form
书中自有妍如玉的博客
07-18 1453
3,如果你使用的是.Net 3.5,MVC 2.0及更高的版本,那么可以在处理Post方法的Action添加一个特性:[ValidateInput(false)],这样处理就更加有针对性,提高页面的安全性。原以为就像普通的Asp.net页面一样,在头部的Page中加入ValidateRequest="false"就行了,谁知问题还是存在。1,在出现该错误的页面头部的page中加入ValidateRequest="false",那么该页面的任何一次Post提交都不会再验证提交内容的安全性。
客户端检测到有潜在危险Request.Form
新起点
03-23 1141
vs2010,IIS部署环境是.NET4.0 已经有:ValidateRequest ="false" 报错:从客户端检测到有潜在危险Request.Form 解决: 在Web.Config文件中的配置节之前加上如下一句配置就可以了
ASP.NET从客户端检测到有潜在危险request.form的3种解决方法
10-24
主要介绍了ASP.NET从客户端检测到有潜在危险request.form的3种解决方法,这是ASP.NET开发中一个比较常见的经典的问题,需要的朋友可以参考下
客户端检测到有潜在危险Request.Form 的详细解决方法
永恒の_☆
07-29 1万+
.NET MVC 的项目中有用到百度编辑器的富文本框,然后 提交表单到后台报错: 从客户端(Content="测试")检测到有潜在危险Request.Form 。 一看就知道是传递的字符串中包含了html 标签,然后服务器检查出来了没有通过,所以需要来做处理。 网上有多例子说 在标签中加上validateRequest=“false”这个属性就好了,代码如下: 但
[转]从客户端检测到有潜在危险Request.Form
weixin_34217711的博客
06-20 162
参考资料: ASP.NET 4.0中使用FreeTextBox和FCKeditor遇到安全问题警告的解决办法关于问题出现的原因说的很清楚 引言 本人在.NET 4.0+VS2010环境下调试一个ASP.NET 4.0程序时使用到富文本控件FreeTextBox 3.2.2。从网络上查询得到这个控件尽管被广泛使用,但是其相关的安全问题需要自行解决。 我的问题 我的问题是在...
客户端检测到有潜在危险Request.Form
diqi2676的博客
09-26 149
客户端检测到有潜在危险Request.Form (经测试,本方法适用于.net Framework4.0,如果是.net Framework3.0环境,直接越过第一步,进行第二步设置即可) 配置好CKeditor后,想从CKeditor编辑内容,向数据库中插...
asp.net中“从客户端检测到有潜在危险Request.Form”错误的解决办法
10-23
在***中,提交表单时系统可能会提示“从客户端检测到有潜在危险Request.Form”的错误,这通常意味着***的请求验证特性检测到可能的跨站脚本攻击(XSS)。为了解决这个问题,我们需要理解***的请求验证机制,并...
客户端检测到有潜在危险Request.Form的asp.net代码
10-30
总之,在***开发中处理“从客户端检测到有潜在危险Request.Form”时,必须要有强烈的安全意识,不建议关闭请求验证功能,而应该采用合适的方法来处理可能的XSS威胁,确保网站的安全性。对于异常的处理,应当根据...
"客户端检测到有潜在危险Request.Form "
某某xl
10-08 1375
"从客户端(json=\"...orValue\":\"&lt;p&gt;一会见&lt;/p&gt;&lt;p&gt;&lt;br/&gt;&lt;/...\")中检测到有潜在危险Request.Form 。" [ValidateInput(false)] //如遇到上述错误请添加左边这句代码 public JsonResult Pub
HtmlEncode编码与解码用法定义
08-04
htmlencodehtmldecode,html编码,可以方便在web页面,显示html源码,一般将<>&单引号,双引号进行转码。这也是防止html注入攻击一个好方法!
客户端检测到有潜在危险Request.Form
飞翔的学习笔记
03-20 1569
客户端(txtContent="<table cellspacing="...")检测到有潜在危险Request.Form 一般只需要页面上加上ValidateRequest="false" 就行了 但也可能如果原来是.net 2.0的到.net 4.0之后会出现此情况,这时需要在webconfig中修改 加上requestValidationMode="2.0"这句就行了 ...
.Net Framework4.0 ajax页面报错:检测到有潜在危险Request.Form
书写人生
09-11 433
在ASP.NET 中使用JQuery的AJAX调用一般处理程序ashx出错,在处理程序中错误提示如下:从客户端(Text="<img alt="" src="htt…")检测到有潜在危险Request.Form 如果您使用的是.NET 4.0(4.0以下应该也可以的),需要在你的Web.config 中,添加如下语句 <system.web> <pages ...
客户端(content=“xxxxx“)中检测到有潜在危险Request.Form ——较合理解决方案
weixin_54522108的博客
09-26 1275
客户端(content="xxxxx")检测到有潜在危险Request.Form ——较合理解决方案
"客户端检测到有潜在危险Request.Form "的解决方案汇总
willingtolove的博客
05-25 4531
#事故现场   在一个asp.net 的项目中,前端通过ajax将富文本中的文字内容post到服务端的一个ashx中,在ashx中尝试读取参数时, 结果报错:“从客户端检测到有潜在危险Request.Form ” #事故分析   由于在asp.net中,Request提交时出现有html代码字符串时,程序系统会认为其具有潜在危险。会报出“从客户端检测到有潜在危险的Requ...
客户端XX中检测到有潜在危险Request.XX
婴儿学习经验讨论交流
01-06 949
由于在.net中,Request时出现有HTML或Javascript等字符串时,系统会认为是危险。立马报出“从客户端 中检测到有潜在危险的 Request”这样的错。   解决方案一:    在.aspx文件头中加入这句:        解决方案二:    修改web.config文件:                        因为validateRequest默认为true。只要
客户端检测到有潜在危险Request.Form
热门推荐
qq_35314780的博客
04-16 2万+
由于在asp.net中,Request提交时出现有html代码或javascript等字符串时,程序系统会认为其具有潜在危险。环境配置会报出“从客户端检测到有潜在危险Request.Form”这样的Error。 解决办法: 一、在asp.net webform1、当前提交页面,添加代码 打开当前.aspx页面,页头加上代码:validateRequest=”false”,如: &l...
传参存在潜在危险
weixin_30546933的博客
05-15 224
客户端检测到有潜在危险request.form[解决方法] 当页面编辑或运行提交时,出现“从客户端检测到有潜在危险request.form”问题,该怎么办呢?如下图所示: 下面博主汇总出现这种错误的几种解决方法:问题原因:由于在asp.net中,Request提交时出现有html代码或javascript等字符串时,程序系统会认为其具有潜在危险。环境配置会报出“从客...
客户端(InXml="<request><identity><...")中检测到有潜在危险Request.Form
最新发布
01-20
引用和引用提供了一些关于字段类型和动态字段的信息,但与从客户端检测潜在危险Request.Form无关。 要从客户端检测潜在危险Request.Form,你可以使用一些安全性工具和技术来帮助你识别和处理潜在的安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值