उपयोगकर्ता को ASP.NET MVC में HTML इनपुट करने की अनुमति दें - ValidateInput या AllowHtml

मैं किसी उपयोगकर्ता को ASP.net MVC का उपयोग करके किसी विशेष क्षेत्र में HTML इनपुट करने की अनुमति कैसे दे सकता हूं।

मेरे पास कई फ़ील्ड्स के साथ एक लंबा फ़ॉर्म है जो नियंत्रक में इस जटिल ऑब्जेक्ट को मैप किया जाता है।

मैं एक फ़ील्ड बनाना चाहता हूं (विवरण) HTML की अनुमति देता है जिसे मैं बाद में अपने स्वयं के स्वच्छता को पहले से ही बताऊंगा।

उस नियंत्रक में क्रिया (पोस्ट) के लिए निम्नलिखित विशेषता जोड़ें जिसे आप HTML के लिए अनुमति देना चाहते हैं:

[ValidateInput(false)] 

संपादित करें: चार्लिनो टिप्पणियों के अनुसार :

अपने web.config में उपयोग किए गए सत्यापन मोड को सेट करें। MSDN देखें :

<httpRuntime requestValidationMode="2.0" />

संपादित करें सितम्बर 2014: स्प्रिंट 252 टिप्पणियों के अनुसार :

आपको अब [AllowHtml]विशेषता का उपयोग करना चाहिए । MSDN से नीचे देखें :

ASP.NET MVC 3 अनुप्रयोगों के लिए, जब आपको अपने मॉडल पर HTML पोस्ट करने की आवश्यकता होती है, तो अनुरोध सत्यापन को बंद करने के लिए ValidateInput (गलत) का उपयोग न करें। बस अपनी मॉडल संपत्ति में [AllowHtml] जोड़ें, जैसे:

public class BlogEntry {
    public int UserId {get;set;}
    [AllowHtml] 
    public string BlogText {get;set;}
 }

[AllowHtml]संपत्ति के ऊपर विशेषता के बारे में क्या ?

मॉडल में जोड़ें:

using System.Web.Mvc;

और अपनी संपत्ति को

        [AllowHtml]
        [Display(Name = "Body")]
        public String Body { get; set; }

मेरे बिंदु से यह कोड इस त्रुटि से बचने का सबसे अच्छा तरीका है। यदि आप HTML संपादक का उपयोग कर रहे हैं, तो आपके पास सुरक्षा मुद्दे नहीं होंगे क्योंकि यह पहले से ही प्रतिबंधित है।

[AllowHtml]विशिष्ट संपत्ति पर जोड़ना अनुशंसित समाधान है क्योंकि सुरक्षा स्तर को कम करने के लिए बहुत सारे ब्लॉग और टिप्पणियां हैं, जो अस्वीकार्य होना चाहिए।

इसे जोड़कर, MVC फ्रेमवर्क नियंत्रक को हिट करने की अनुमति देगा और उस नियंत्रक में कोड निष्पादित किया जाएगा।

हालाँकि, यह आपके कोड, फ़िल्टर इत्यादि पर निर्भर करता है कि प्रतिक्रिया कैसे उत्पन्न होती है और क्या कोई और मान्यता है जो किसी अन्य समान त्रुटि को ट्रिगर कर सकती है।

किसी भी मामले में, [AllowHtml]विशेषता जोड़ना सही उत्तर है, क्योंकि यह html को नियंत्रक में deserialized करने की अनुमति देता है। आपके दृष्टिकोण में उदाहरण:

[AllowHtml]
public string MessageWithHtml {get; set;}

मुझे उसी समस्या का सामना करना पड़ा, हालांकि मैंने [System.Web.Mvc.AllowHtml]संबंधित संपत्ति में कुछ उत्तरों में वर्णित किया।

मेरे मामले में, मेरे पास एक UnhandledExceptionFilterवर्ग है जो एमवीसी सत्यापन होने से पहले अनुरोध वस्तु तक पहुंचता है (और इसलिए AllowHtml का कोई प्रभाव नहीं पड़ता है) और यह पहुंच एक उठाता है [HttpRequestValidationException] A potentially dangerous Request.Form value was detected from the client।

इसका अर्थ है, अनुरोध वस्तु के कुछ गुणों तक पहुँचना वैधता से वैधता प्राप्त करता है (मेरे मामले में इसकी Paramsसंपत्ति)।

सत्यापन को रोकने के लिए एक समाधान MSDN पर प्रलेखित है

अनुरोध में विशिष्ट क्षेत्र के लिए अनुरोध सत्यापन को अक्षम करने के लिए (उदाहरण के लिए, इनपुट तत्व या क्वेरी स्ट्रिंग मान के लिए), अनुरोध प्राप्त करें। जब आप आइटम प्राप्त करते हैं, तो निम्न विधि में दिखाया गया है।

इसलिए, यदि आपके पास इस तरह का कोड है

var lParams = aRequestContext.HttpContext.Request.Params;
if (lParams.Count > 0)
{
  ...

इसे बदलो

var lUnvalidatedRequest = aRequestContext.HttpContext.Request.Unvalidated;

var lForm = lUnvalidatedRequest.Form;
if (lForm.Count > 0)
{
  ...

या केवल उस Formसंपत्ति का उपयोग करें जो सत्यापन को आग नहीं लगती है

var lForm = aRequestContext.HttpContext.Request.Form;
if (lForm.Count > 0)
{
  ...

यदि आपको एक्शन-विधि पैरामीटर ("मॉडल प्रॉपर्टी" के विपरीत) के लिए html इनपुट की अनुमति देने की आवश्यकता है, तो ऐसा करने का कोई अंतर्निहित तरीका नहीं है, लेकिन आप कस्टम मॉडल बाइंडर का उपयोग करके इसे आसानी से प्राप्त कर सकते हैं:

public ActionResult AddBlogPost(int userId,
    [ModelBinder(typeof(AllowHtmlBinder))] string htmlBody)
{
    //...
}

AllowHtmlBinder कोड:

public class AllowHtmlBinder : IModelBinder
{
    public object BindModel(ControllerContext controllerContext, ModelBindingContext bindingContext)
    {
        var request = controllerContext.HttpContext.Request;
        var name = bindingContext.ModelName;
        return request.Unvalidated[name]; //magic happens here
    }
}

पूर्ण स्रोत कोड और मेरे ब्लॉग पोस्ट में स्पष्टीकरण का पता लगाएं: https://www.jitbit.com/alexblog/273-aspnet-mvc-allowing-html-for-particular-action-parameters/

URL एनकोडिंग डेटा मेरे लिए भी काम करता है

उदाहरण के लिए

var data = '<b> हैलो </ b>'

पोस्ट करने से पहले ब्राउज़र कॉल में encodeURIComponent (डेटा)

सर्वर पर HttpUtility.UrlDecode (प्राप्त_डेटा) को डिकोड करने के लिए

इस तरह से आप वास्तव में नियंत्रित कर सकते हैं कि किस क्षेत्र में html की अनुमति है

NopCommerce का उपयोग करके ई-कॉमर्स साइट के विकास के दौरान मुझे इस समस्या का सामना करना पड़ा है, मुझे पिछले उत्तरों की तरह यह समाधान 3 अलग-अलग तरीकों से मिला है। लेकिन NopCommerce संरचना के अनुसार मैंने उन तीनों को एक बार में नहीं पाया। मैंने अभी देखा है कि वहाँ वे सिर्फ उपयोग कर रहे हैं [AllowHtml]और यह किसी भी समस्या को छोड़कर ठीक काम कर रहा है। जैसा कि पहले पूछा गया प्रश्न

व्यक्तिगत रूप से मैं पसंद नहीं करता [ValidateInput(false)]क्योंकि मैं कुल मॉडल इकाई जाँच को रोक रहा हूँ, जो असुरक्षित है। लेकिन अगर किसी को लिखने के लिए यहाँ एक नज़र है

[AllowHtml] 
public string BlogText {get;set;}

तब यह सिर्फ एक ही संपत्ति को छोड़ता है, और केवल विशेष संपत्ति की अनुमति देता है और अन्य सभी संस्थाओं की जांच करता है। इसलिए यह मेरे लिए बेहतर लगता है।

मेरे मामले में, OutputCache एक्शन फिल्टर के साथ संयुक्त होने पर AllowHtml विशेषता काम नहीं कर रही थी। इस जवाब ने मेरे लिए समस्या हल कर दी। आशा है कि यह किसी की मदद करता है।

आप [AllowHtml]उदाहरण के लिए अपनी परियोजना के लिए उपयोग कर सकते हैं

 [AllowHtml]
 public string Description { get; set; }

इस कोड का उपयोग करने के लिए कक्षा पुस्तकालय के लिए आप इस पैकेज का उपयोग करें

Install-Package Microsoft.AspNet.Mvc

इसके बाद उपयोग करें using

using System.Web.Mvc;

यहाँ कोई भी जवाब मेरे लिए दुर्भाग्य से काम नहीं आया।

मैंने कस्टम मॉडल बाइंडिंग का उपयोग किया और तीसरे पक्ष के सैनिटाइज़र का उपयोग किया।

मेरे स्व-उत्तरित प्रश्न को यहाँ देखें ।