のASP MVC「潜在的に危険のRequest.Form ...」

Question

私はコントローラにHTMLで記事を送信すると、Chromeで例外を取得しています：

リソースの読み込みに失敗しました：サーバーはステータスで応答500（内部サーバーエラー）

.NET 4.0、ウェブサーバは、webdevはVS2010で私の設定です：

<system.web> 
<compilation debug="true" targetFramework="4.0"> 
<assemblies> 
<add assembly="System.Web.Abstractions, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/> 
<add assembly="System.Web.Routing, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/> 
<add assembly="System.Web.Mvc, Version=2.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/> 
<add assembly="System.Web.DataVisualization, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31BF3856AD364E35"/></assemblies> 
</compilation> 
<httpRuntime requestValidationMode="2.0" /> 
<pages validateRequest="false"> 
<namespaces> 
<add namespace="System.Web.Mvc"/> 
<add namespace="System.Web.Mvc.Ajax"/> 
<add namespace="System.Web.Mvc.Html"/> 
<add namespace="System.Web.Routing"/> 
</namespaces> 
</pages> 

...

何が欠けていますか？

Answer 1

HTMLを許可するコントローラーアクションに[ValidateInput(false)]を設定する必要があります。 （または全体のコントローラに、それは悪い習慣だ。

他の重要なことは、あなたがすでに持って1、web.configファイルで<httpRuntime requestValidationMode="2.0" />です。

は、.aspxファイルまたはweb.configファイルでRequestValidateを設定しそれは、コントローラではなく、検証を要求し、ビューのようMVCでは動作しませ

編集：。一方を、MVC 3がリリースされましたこれは、あなたがそれらを安全にするために[AllowHtml]とモデルの個々のプロパティを飾ることができます。要求の検証を完全に無効にすることはありません。

Answer 2

あなたがあなたの財産のための新しい属性を使用することができますMVC 3 RCを使用している場合など[AllowHtml]

代わりに、これはあなたがXSS攻撃を防ぐために助けにはなりませんAction.-コントローラーに[ValidateInput（偽）]の設定の

ASP.NET MVCは、HTMLやクロスサイト スクリプトインジェクション攻撃から保護するためのサポートを内蔵しており、入力としてHTMLコンテンツを投稿しようとし 誰か場合 、デフォルトではエラーがスローされます含まれています。 有効にするには、 を明示的に指定する必要があります（ を安全にサポートするために、 がアプリを構築したことがあります）。 ASP.NET MVC 3で は、我々はあなた が HTML入力はDRY 方法で はるかに粒状の保護を可能にする、有効になっていることを示すために モデル/のviewmodelsのプロパティに適用することができ、新しい属性をサポートしている今も です。先月のRCリリースでは、この 属性の名前は [SkipRequestValidation]でした。 モデル/のviewmodelに上記 [AllowHtml]属性を設定すると、モデルは単なる結合HTMLインジェクション 保護をオフにするASP.NET MVC 3が発生します：RC2で、私たち はそれが より直感的にする[AllowHtml]に改名しましたそのプロパティーは です。