Html.TextAreaForwithout kodlamasını kullanarak nasıl kullanabilirim? Bunun bir güvenlik riski olduğunu biliyorum ancak herhangi bir metni dezenfekte eden ayrı bir sınıfa sahibim.Kodlama olmadan ASP.NET MVC3, Html.TextAreaFor?
Örnek:
@ Html.TextAreaFor (model => model.PostBodyText, 10, 100, 1)
I TinyMCE ile kullanmak düşünüyorum.
Selamlar RaVen
Yeni Jilet Görünüm Engine kullanıyorum GÜNCELLEME.
Kendi rulo gerekir: Bu site olarak çok tehlikeli olabilir
Tabii<textarea cols="100" id="PostBodyText" name="PostBodyText" rows="10">
@MvcHtmlString.Create(Model.PostBodyText)
</textarea>
güvenlik açısından artık XSS saldırılarına karşı savunmasız olduğunu. Öyleyse sorusu, sizin için işi yapmak için sadece HTML yardımcılarına güvenebileceğiniz zaman bütün metni dezenfekte eden ayrı bir sınıfa sahip olmanızın nedeni nedir?
Alternatif bir seçenek olarak, ValidateInput'u here açıklandığı şekilde kullanmak isteyebilirsiniz. MVC tarzında bir örnek verilebilir:
[ValidateInput(false)]
public ActionResult Method(){
return View()
}
[ValidateInput(false)]
[AcceptVerbs(HttpVerbs.Post)]
public ActionResult Method(){
// your stuff here
RedirectToAction("index"); // or something
}
// düzenleme Sana
<httpRuntime requestValidationMode="2.0"/>
MVC yeni sürümlerinde de webConfig eklemek gerekir bkz
woops. Tahmin etmenin yolu olmayabilir.
Bu tam olarak doğru. [ValidateInput (false)], formunuza HTML'nin gönderilmesini sağlayacaktır. –
Model özelliği üzerinde [AllowHtml] kullanın. In ASP.NET MVC 3, how do I get at the model using Razor Syntax in a Create() View?’da öğrendiğim gibi.
Teşekkürler ... Sizden ayrılmak isterdim ama siteye yeniyim :) – RaVen
@RaVen, sorun yok, soru sorduğunuzda ve cevapları kabul ettiğinizde itibar kazanın. –
Evet Biliyorum ama javascript etiketlerini filtreliyorum ... Sadece bazı güvenli html etiketlerine izin veriyorum. Ama evet TinyMCE bir güvenlik açığına neden olabilir. Tekrar çok teşekkürler. :) – RaVen