本文介绍了一种在.NET项目中处理富文本编辑器内容导致的安全问题解决方案,通过修改控制器方法来避免系统将HTML或JavaScript视为危险输入。
最近的站点要做一个新闻模块,站点后台须要对新闻进行管理,拿到富文本编辑器的内容,在获取的时候会报一个错误:从client(content="<p>.....</p>")中检測到有潜在危急的 Request.Form 值。
原来在.net中。Request时出现有HTML或Javascript等字符串时。系统会觉得是危急性值,所以须要我们去掉验证。
解决方式例如以下:
给相应的controller的方法加特性 [ValidateInput(false)]
问题解决。
在网上查资料的时候,解决方法须要改动配置文件,
<httpRuntime requestValidationMode="2.0" />
<system.webServer>
<validation validateIntegratedModeConfiguration="false"/>
</system.webServer>
经測试,在我的mvc项目里这样做不生效,不知道是哪里配错了,
而且这样做可能会带来安全问题,网站非常easy引发跨站脚本攻击(http://www.shaoqun.com/a/29374.aspx)。
扫一扫
7301
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
