Validationが危険なクライアント入力を検出しました - ASP.NETのTinyMCEからの投稿

Question

TinyMCEからASP.NET MVCビューに投稿するとこのエラーが発生します。

エラー：

Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted

グーグルから、それはちょうど私がやった一番上のPageディレクティブでのvalidateRequestを追加すると言うが、私はまだ、このエラーが発生します。ご覧のとおり、私のコードは以下の通りです。

<%@ Page validateRequest="false" Title="" Language="C#" MasterPageFile="~/Views/Shared/Site.Master" Inherits="System.Web.Mvc.ViewPage" %> 

Answer 1

デコレータ[ValidateInput(false)]を使用してください。

次に、HTMLEncodeメソッドを作成して安全にしたいと考えています。

私が使用しているものを投稿したい場合はお知らせください。

は、私は、このソリューションをお試しください

public static class StringHelpers 
{ 
    public static string HtmlEncode(this string value) 
    { 
     if (!string.IsNullOrEmpty(value)) 
     { 
      value = value.Replace("<", "&lt;"); 
      value = value.Replace(">", "&gt;"); 
      value = value.Replace("'", "&apos;"); 
      value = value.Replace(@"""", "&quot;"); 
     } 
     return value; 
    } 

    public static string HtmlDecode(this string value) 
    { 
     if (!string.IsNullOrEmpty(value)) 
     { 
      value = value.Replace("&lt;", "<"); 
      value = value.Replace("&gt;", ">"); 
      value = value.Replace("&apos;", "'"); 
      value = value.Replace("&quot;", @""""); 
     } 

     return value; 
    } 
} 

Answer 2

を使用するエンコードを追加しました。単にあなたのモデルで[AllowHtml]属性を使用してみてくださいTinyMCEの制御に

tinyMCE.init({ 
... 
encoding : "xml" 
}); 

http://wiki.moxiecode.com/index.php/TinyMCE:Configuration/encoding

http://blog.tentaclesoftware.com/archive/2010/07/22/96.aspx

Answer 3

を追加します。

class MyModel{ 
[AllowHtml] 
public string Content{get;set;} 
} 

Answer 4

annoyingly tinymceのバージョン4では、encoding：xmlオプションを削除したようです。

私はthis answerからjavascriptのHTMLエンコーディング機能を使用して終了し、フォームが、私は同じ問題を抱えていた

Answer 5

のTinyMCEののgetContentとのsetContentメソッドを使用して、提出する前に、私のボタンを提出の上、私はテキストエリアの内容を符号化します。

tinyMCE.init({ 
    ... 
    encoding: "xml" 
}); 

（私は古いバージョンを使用しています）TinyMCEのプラグインコードで

は、あなたのコンテンツをエンコード：私は、ASP.NET MVCの検証機能を無効にしたくなかったので、私は、このソリューションに達するまで私が見ているまま

これ以降は、アプリケーションの検証エラーがもう発生しませんでした。私はコードがhtmlタグ

ので、代わりにこの

私の入力値の

<strong>My input value</strong> 

を考え出すだろう私のフォームを編集したときに、私は別の問題を思い付いた、私が解読しなければなりませんでしたそのフィールドのHTMLは次のように、コントローラで私の値を取得する場合：

...  
entity.field = HttpUtility.HtmlDecode(entity.field);