问题

使用MVC的同学十有八九都会遇到这个错误:从客户端(Content="<script>...")中检测到有潜在危险的Request.Form 值。

这个错误是在请求中,用户输入的内容包含一些特殊字符而导致的,这是MVC为防止XSS而考虑的。

比如我们需要在后台发布一篇新闻,新闻的内容是富文本编辑器编辑得到HTML,那么在请求到Action的时候,默认的就会出现这个错误。

方案1

解决这个错误通常的做法是,在处理请求的Action上增加特性:[ValidateInput(false)]

方案2

方案一的做法有些过于大方了,该特性允许使得本次请求的所有参数都放弃了验证。

还是以发布新闻为例,需要提交标题和内容,那么即使标题中包含特殊字符,也会忽略验证。显然,这不是我们想要的。

我们其实想要的是,只允许新闻内容属性不验证,其他的属性默认还是要验证。

比如,我们给不需要验证的属性,增加一个[xxx]特性。

事实上,MVC实现了这样一个特性:[AllowHtml]

详细见:https://docs.microsoft.com/en-us/dotnet/api/system.web.mvc.allowhtmlattribute?view=aspnet-mvc-5.2

方案3

方案二基本满足了我们的需求,但是有一点,该特性在MVC命名空间下定义。往往我们的Model类是独立的类库,如果使用该特性,还需要引入MVC dll,感觉不是很好。

那么我们自己实现这样一个特性,标记在指定的属性上,在ModelBinder绑定属性的时候,包含该特性的属性,指定其不验证。

1.首先在global.asax中指定新的DefaultBinder

ModelBinders.Binders.DefaultBinder = new MyModelBinder();

2.定义MyAtrr

[AttributeUsage(AttributeTargets.Class, AllowMultiple = true, Inherited = true)]

public class MyAttribute : Attribute

{

}

3.实现MyModelBinder

public class MyModelBinder : DefaultModelBinder

{

  protected override object GetPropertyValue(ControllerContext controllerContext, ModelBindingContext bindingContext, PropertyDescriptor propertyDescriptor, IModelBinder propertyBinder)

  {

       bool containMyAttr = propertyDescriptor.Attributes.OfType<MyAttribute>().Any();

       if (containMyAtrr)

       {

            bindingContext.ModelMetadata.RequestValidationEnabled = false;

       }

       return base.GetPropertyValue(controllerContext, bindingContext, propertyDescriptor, propertyBinder);

  }

}

ModelBiner不验证某个属性的更多相关文章

  1. ModelState验证部分属性

    ModelState.Remove("Name") 去掉不需要验证的属性.

  2. Silverlight实例教程 - Validation数据验证基础属性和事件(转载)

    Silverlight 4 Validation验证实例系列 Silverlight实例教程 - Validation数据验证开篇 Silverlight实例教程 - Validation数据验证基础 ...

  3. 关于entityframework 自动生成实体类中加验证的属性重新生成后属性被覆盖解决办法

    1.手动创建一个部分类 (你可以手动创建 partial class, 内容为空) [MetadataType(typeof(AppleMetadata))] public partial class ...

  4. 自定义验证----required属性

    1,required属性 - 表示字段不能为空(注意:只有用户单击“提交”按钮提交表单的时候,浏览器才会执行验证.目前HTML5不支持指定验证的时间,而且验证消息的样式和内容各个浏览器不大一样,不能修 ...

  5. com.microsoft.sqlserver.jdbc.SQLServerException: 通过端口 1433 连接到主机 127.0.0.1 的 TCP/IP 连接失败。错误:“Connection refused: connect。请验证连接属性。确保 SQL Server 的实例正在主机上运行,且在此端口接受 TCP/IP 连接,还要确保防火墙没有阻止到此端口的 TCP 连接。”

    检查SQL Server Configuration Manager 确定实例名为"SKYSQLEXPRESS"下的TCP/IP已经开启了: sql2014配置(系统为Window ...

  6. Newtonsoft.Json.Linq.JObject 遍历验证每个属性内容

    业务需求,拦截器验证每个请求inputstream(实际是application/json流)的数据,但是json反序列化实体格式不同. var req = filterContext.Request ...

  7. 《Sqlserver》通过端口 8080 连接到主机 localhost 的 TCP/IP 连接失败。错误:“驱动程序收到意外的登录前响应。请验证连接属性,并检查 SQL Server 的实例正在主机上运行,且在此端口接受

    1. 点击 开始 --> 所有程序 --> Microsoft SQL Server2005 --> 配置工具-->SQL Server configuration Manag ...

  8. HTML5 Web Form 新增属性和表单验证

    <form>标签的基本属性 method属性:指定浏览器向服务器传送数据的方式,可选: action属性:设置服务器接受和处理表单数据的URL: enctype属性:制定表单数据在发送到服 ...

  9. React 学习(二) ---- props验证与默认属性

    在上一节中, 我们提到了props, 组件之间数据的传递使用props. 我们调用组件时可以设置props, 组件内部通过props获取. 为了props 使用更加友好, React 提供了简单的验证 ...

随机推荐

  1. mysql-5.7 通过apt或者yum安装方式

    此文章仅记录使用apt-get安装mysql. 通过以下命令安装MySQL: shell> sudo apt-get install mysql-server 这将安装MySQL服务器的包,以及 ...

  2. 使用tortoisegit工具git地址中带号码密码的拉取,以及使用这种方式后中途重置密码报git remote: HTTP Basic: Access denied 错误解决办法

    1. 在拉取git项目时可以在地址中直接指定号码密码如下就可以直接拉取下来 https://username:password@github.com   需要注意,因为在解析地址时是以@符号作为地址信 ...

  3. Spark 学习笔记

    Spark的前世今生   基础语法详解   3.条件控制与循环   4.函数入门   5.函数入门之默认参数   6.函数入门之边长参数   7.函数入门之过程lazy值和异常   8.数组操作之Ar ...

  4. 支持向量机(SVM)

    SVM 简介 SVM:Support Vector Machine , 支持向量机, 是一种分类算法. 同Logistic 分类方法目的一样,SVM 试图想寻找分割线或面,将平面或空间里的样本点一分为 ...

  5. Zynq系列FPGA如何固化bit文件到QSPI_Flash

    最近由于项目需要,要将bit文件固化到zedboard的flash中,使程序上电自启,断电不丢失. 我们知道,一般板级调试的时候都是直接下载bit流到FPGA就行,固化到Flash的话,也是先生成.m ...

  6. MySQL 允许局域网内其他网段主机访问本地MySql数据库

    Mac下和Windows下均适合

  7. C# linq语句学习

    using System; using System.Linq; namespace ConsoleApp1 { class Program { static void Main(string[] a ...

  8. Ubuntu server LTS 16.04安装SSH以及连接问题

    1.SSH安装 出现问题: 登录到Ubuntu服务器,执行以下命令: sudo apt-get install openssh-server 出现以下错误: 解决办法: 1)确保服务器能出外网,比如说 ...

  9. Javascript循环删除数组中元素的几种方法示例

    发现问题 大家在码代码的过程中,经常会遇到在循环中移除指定元素的需求.按照常规的思路,直接一个for循环,然后在循环里面来个if判断,在判断中删除掉指定元素即可.但是实际情况往往不会像预想的那样顺利运 ...

  10. Git 教程(二):提交和回退

    我们已经成功地添加并提交了一个readme.txt文件,现在,是时候继续工作了,于是,我们继续修改readme.txt文件,改成如下内容: Git is a distributed version c ...