从客户端(txtUEditor="<p>a</p>")中检测到有潜在危险的 Request.Form 值。
1,一种方法是在web.config中的pages节中设置,如:
<system.web > <pages validateRequest="false" ></pages > </system.web >
但是这种方式并不好,太过暴力,因为它会使整个项目所有的页面都不会再验证提交的内容,安全性大大降低。
2,推荐做法:
给Action加一个Attribute:[ValidateInput(false)],这样只会让该页面不验证提交的内容,而不会影响到其他页面。
[HttpPost] [ValidateInput(false)] public ActionResult Publish(FormCollection form) { return View(); }
时间: 2024-11-08 04:01:56