Comment puis-je autoriser les balises HTML pour être soumis dans une zone de texte dans asp.net?

Tout d'abord, je tiens à faire savoir à tous que je suis en utilisant un aspx moteur n'est pas un moteur de Rasoir.

J'ai une table dans un formulaire. Un de mes textbox contient des balises html comme 

</br>Phone: </br> 814-888-9999 </br> Email: </br> [email protected].

Quand je vais à construire ce qu'il me donne une erreur qui dit que

Potentiellement dangereuse Demande.Formulaire de valeur a été détectée par le client (QuestionAnswer="...ics Phone:<br/>814-888-9999<br...").

J'ai essayé la demande de validation d'="false" mais cela n'a pas fonctionné.

Je suis désolé je n'ai pas à ajouter mon code html pour vous de regarder si loin. Je suis en tirant quelques question jusqu'où je peux le modifier, si besoin est.

 <%@ Page Title="" Language="C#" MasterPageFile="~/Views/Shared/Site.Master"   Inherits="System.Web.Mvc.ViewPage<dynamic>" %>
<asp:Content ID="Content1" ContentPlaceHolderID="TitleContent" runat="server">
EditFreqQuestionsUser
</asp:Content>
<asp:Content ID="Content2" ContentPlaceHolderID="MainContent" runat="server">
<script type="text/javascript">
$(document).ready(function () {
$("#freqQuestionsUserUpdateButton").click(function () {
$("#updateFreqQuestionsUser").submit();
});
});
</script>
<h2>Edit Freq Questions User </h2>
<%Administrator.AdminProductionServices.FreqQuestionsUser freqQuestionsUser =   ViewBag.freqQuestionsUser != null ? ViewBag.freqQuestionsUser : new   Administrator.AdminProductionServices.FreqQuestionsUser(); %>
<%List<string> UserRoleList = Session["UserRoles"] != null ? (List<string>)Session["UserRoles"] : new List<string>(); %>
<form id="updateFreqQuestionsUser" action="<%=Url.Action("SaveFreqQuestionsUser","Prod")%>" method="post" onsubmit+>
<table> 
<tr>
<td colspan="3" class="tableHeader">Freq Questions User Details <input type ="hidden" value="<%=freqQuestionsUser.freqQuestionsUserId%>" name="freqQuestionsUserId"/> </td>
</tr>
<tr>
<td colspan="2" class="label">Question Description:</td>
<td class="content">
<input type="text" maxlength="2000" name="QuestionDescription" value="  <%=freqQuestionsUser.questionDescription%>" />
</td>
</tr>
<tr>
<td colspan="2" class="label">QuestionAnswer:</td>
<td class="content">
<input type="text" maxlength="2000" name="QuestionAnswer" value="<%=freqQuestionsUser.questionAnswer%>" />
</td>
</tr>
<tr>
<td colspan="3" class="tableFooter">
<br />
<a id="freqQuestionsUserUpdateButton" href="#" class="regularButton">Save</a>
<a href="javascript:history.back()" class="regularButton">Cancel</a>
</td> 
</tr>
</table>
</form>
</asp:Content>
InformationsquelleAutor Yusuf | 2012-07-26
  1. 29

    avant que la page soit soumis vous avez besoin de codage html la zone de texte valeur, avec fenêtre.échapper(...)

    Si vous avez besoin de l'onu, échappé de texte sur le côté serveur, puis utiliser HttpUtility.UrlDecode(...) méthode.

    très rapide de l'échantillon:

    <%@ Page Language="C#" AutoEventWireup="true" CodeBehind="WebForm1.aspx.cs" Inherits="SO.WebForm1" %>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head runat="server">
<title></title>
<script>
function makeSafe() {
document.getElementById('TextBox1').value = window.escape(document.getElementById('TextBox1').value);
};
function makeDangerous() {
document.getElementById('TextBox1').value = window.unescape(document.getElementById('TextBox1').value);
}
</script>
</head>
<body>
<form id="form1" runat="server" onsubmit="makeSafe();">
<div>
<asp:TextBox ID="TextBox1" runat="server" TextMode="MultiLine" Rows="10" ClientIDMode="Static"></asp:TextBox>
</div>
<asp:Button ID="Button1" runat="server" Text="Button" />
</form>
<script>
makeDangerous();
</script>
</body>
</html>

    Faire ces changements à votre code:

    <script type="text/javascript">
$(document).ready(function () {
makeDangerous();
$("#freqQuestionsUserUpdateButton").click(function () {
makeSafe();
$("#updateFreqQuestionsUser").submit();
});
});
//Adding an ID attribute to the inputs you want to validate is simplest
//Better would be to use document.getElementsByTagName and filter the array on NAME
//or use a JQUERY select....
function makeSafe() {
document.getElementById('QuestionAnswer').value = window.escape(document.getElementById('QuestionAnswer').value);
};
//In this case adding the HTML back to a textbox should be 'safe'
//You should be very wary though when you use it as actual HTML
//You MUST take steps to ensure the HTML is safe.
function makeDangerous() {
document.getElementById('QuestionAnswer').value = window.unescape(document.getElementById('QuestionAnswer').value);
}
</script>
    InformationsquelleAutor Mesh
  2. 8

    Décorer votre contrôleur de l'action avec le [ValidateInput] attribut:

    [ValidateInput(false)]
[HttpPost]
public ActionResult Foo(MyViewModel model)
{
...
}
    • -1: c'est une réponse valable, ce n'est pas une bonne idée. Je ne pense pas que c'est une bonne idée à proposer des utilisateurs devrait aveuglément désactiver la validation. Au lieu de cela, ils doivent déterminer pourquoi validation est en échec, et viennent ensuite avec une solution qui n'est pas juste couper un important mécanisme de sécurité. Suggestions comme ceux fournis par Ted Spence et Adrian sont un bon endroit pour commencer.
    • mécanisme de sécurité? Je me moque de qui. Pourriez-vous nous expliquer ce qui est tellement important à propos de cette validation? Vous êtes également à la désactivation de la validation uniquement pour cette action particulière. Dans ASP.NET MVC 3 vous pouvez obtenir encore plus de précision, la logique, par la décoration de votre modèle de vue des propriétés avec la [AllowHtml] attribut. Quel est le point de l'utilisation de javascript pour échapper à la saisie de l'utilisateur avant de les soumettre?
    • Sérieusement? Vous êtes en soutenant que la validation des entrées est risible et sans importance? "Une mauvaise neutralisation" de la saisie de l'utilisateur est répertoriés dans les 3 premiers du top 25 des failles de sécurité dans les logiciels d'aujourd'hui. Vous avez juste dit au gars pour désactiver la validation d'entrée, sans aucune explication. Pas d'explication, pas d'alternative, rien.
    • Quel est le point de l'utilisation de l'encodage de la saisie de l'utilisateur avant de l'envoyer au serveur? Découvrez XSS prévention de la règle #2. Évidemment ce n'est qu'une première ligne de défense et d'entrée doit également être validée sur le serveur.
    • XSS la prévention ne doit pas être fait lors de la publication sur le serveur qui est ce que l'OP est en train de faire ici. Il doit être fait lorsque vous affichez cet utilisateur d'inscription des données dans une vue plus tard. Par exemple les bases de données relationnelles ne se soucient pas beaucoup sur le XSS. Ils peuvent stocker des données brutes de vous jeter sur eux. Tout ce que vous avez à faire si vous voulez être en mesure de publier des données contenant des balises HTML à un ASP.NET page, tout ce que vous devez faire est de désactiver le moche validation à l'aide de la ValidateInput attribut ou (comme je l'ai dit) dans ASP.NET MVC 3 vous pouvez également utiliser le bouton [AllowHtml] attribut sur les propriétés individuelles.
    • D'accord sur le XSS prévention argument. Bien que personnellement je préfère pour nettoyer l'entrée et enregistrer les données encodées dans ma DB plutôt que de traiter toutes les entrées de données enregistrées dans la bd comme "suspect". De toute façon, l'important serait d'assurer une politique appropriée est utilisée de façon uniforme dans toute l'application.
    • C'est vieux , mais @DarinDimitrov, c'est sur , je sais comment valider mes propres entrées , ici j'ai particulièrement envie de HTML admis - comme le dit le titre.
    • fonctionne très bien! Pour info pour les autres, n'oubliez pas d'inclure "utilisation du Système.Web.Mvc;" dans votre modèle.

    InformationsquelleAutor Darin Dimitrov
  3. 3

    Client JavaScript:

    function codificarTags() {
document.getElementById('txtDescripcion').value = document.getElementById('txtDescripcion').value.replace(/</g,'&lt;').replace(/>/g,'&gt;');
};
<form id="form1" runat="server" onsubmit="codificarTags();">

    Serveur:

    protected void Page_Load(object sender, EventArgs e)
{
txtDescripcion.Text = txtDescripcion.Text.Replace(@"&lt;", @"<").Replace(@"&gt;", @">");
    InformationsquelleAutor user3519409
  4. 0

    À l'aide de html dans la zone de texte n'est pas une bonne pratique, peut-être utiliser des retours à la ligne (( Environment.NewLine ) ou \r\n au lieu de br ?
    .NETTE de Référence

    Exemple (en C#) : 

    textBox1.Multiline = true;
textBox1.Text = "test" + Environment.NewLine + "test2";
    • Je peux l'utiliser que dans la zone de texte/ /n ou /r?
    • J'ai mis le \n dans la zone de texte, il ne fonctionne pas. Il ne me donne pas une erreur en soit. il a juste saisi l'\n alors maintenant, sa comme \n814-888-9999
    • si le type de la zone de texte multiligne, il le fait! Utilisation texte1.text= "test" + "\r\n" + "test2";
    • Désolé,j'ai inversé \n et \r, c'est \r\n pour le travail. Changement freqQuestionsUser.questionAnswer et ça devrait être bon
    InformationsquelleAutor XhkUnlimit
  5. 0

    Je vous recommande d'utiliser le AjaxControlToolkit de l'Éditeur HTML. Je suis en œuvre maintenant. Si vous êtes à la zone de texte multi-ligne et assez grande pour accueillir HTML, pourquoi ne pas simplement augmenter jusqu'à un éditeur HTML. Votre utilisateur sera plus heureux aussi.

    http://www.asp.net/ajaxLibrary/AjaxControlToolkitSampleSite/HTMLEditor/HTMLEditor.aspx

    InformationsquelleAutor Laki Politis