Kodierung von HTML vor dem Senden an Controller/DB

Question

A potentially dangerous Request.Form value was detected from the client (Body="<b></b>").

Dieser Fehler tritt auf, wenn ich versuche, etwas einzugeben wie <b></b> in mein Kommentarfeld und senden Sie es ab. Ich habe gesucht und das Einzige, was ich finde, ist, die Validierung für gefährliche Daten insgesamt zu deaktivieren, aber ich will sie nicht deaktivieren, da meine Website dann angreifbar ist.
Was ich möchte, ist die Verschlüsselung vor dem Senden oder etwas in dieser Richtung, so dass es die Daten, nur verschlüsselt senden wird.

Answer 1

Wenn Sie .net 4 verwenden, können Sie Ihr Modell mit [AllowHtml] schmücken, das nur diese spezifische Eigenschaft durchlässt. Sie können dann sanitize es in der Controller-Logik.

public class MyViewModel
{
    public string prop1 { get; set; }

    [AllowHtml]
    public string prop2 { get; set; }
}

Answer 2

Warum nicht einfach die Methode HttpUtility.HtmlEncode verwenden?

string encodedHTML = HttpUtility.HtmlEncode(unencodedString)

Sie könnten sich auch Microsofts Anti-XSS-Bibliothek .

Answer 3

Was über das Hinzufügen eines Javascript-Ereignisses auf die Schaltfläche "Senden", die die textvalues vor dem Senden des Formulars verschlüsselt?

encodeURI oder encodeUriComponent versuchen