从客户端(editorValue="<p>xxxx</p>")中检测到有潜在危险的 Request.Form 值。

从客户端(txtUEditor="<p>a</p>")中检测到有潜在危险的 Request.Form 值。

1,一种方法是在web.config中的pages节中设置,如:

<system.web >
<pages validateRequest="false" ></pages >
</system.web >

但是这种方式并不好,太过暴力,因为它会使整个项目所有的页面都不会再验证提交的内容,安全性大大降低。

 

2,推荐做法:

给Action加一个Attribute:[ValidateInput(false)],这样只会让该页面不验证提交的内容,而不会影响到其他页面。

[HttpPost]  
[ValidateInput(false)]  
public ActionResult Publish(FormCollection form)  
{  
    return View();  
} 

  

posted on 2017-09-12 13:55  侠气软件  阅读(194)  评论(0编辑  收藏  举报

导航