htmlでAjax JSONベースの投稿を拒否する

Question

JQueryの$ .Ajax（..）を使用して、マークアップを含むJSONオブジェクトをMVCアクションメソッドに投稿すると、コンテンツがASP.Netのリクエストによって拒否されないことに驚きました検証。

要求の検証がJSON投稿に適用されない理由はありますか？次のように定義された

は、マークアップは...サーバーによって拒否

$.ajax({ 
     url: '/Controller/Action', 
     data: JSON.stringify({data:data}), 
     type: "POST", 
     dataType: "json", 
     contentType: "application/json", 
     }); 

は、それが

私は

MVC 3.0 .NET 4.0を使用していますタイプJSONのポストに結びついているように思えていません

私は、データベースにコメントを保存する機能を作成しています。

さまざまなプロパティ（例：commentText）を使用してJSONオブジェクトを投稿しています 何らかの理由で、何らかの理由でマークが含まれていると投稿を拒否しない<div></div>など

動作を説明するように見えるここに記事を見つけた：

http://weblogs.asp.net/imranbaloch/archive/2011/05/23/security-issue-in-asp-net-mvc3-jsonvalueproviderfactory.aspx

Answer 1

あなたが使用しているASP.NETのバージョンを教えてもらえここ http://weblogs.asp.net/imranbaloch/archive/2011/05/23/security-issue-in-asp-net-mvc3-jsonvalueproviderfactory.aspx

Answer 2

私はあなたが要求の検証の話をしていると思いますか？それはMVC上にあるので、あなたのJSON文字列はasp.netによって脅威とみなされるべきではありません。デフォルトではマークアップを含むJSON文字列を拒否するかどうか覚えていません。ここではそれについて

さらに詳しい情報：http://weblogs.asp.net/imranbaloch/archive/2011/02/19/understanding-request-validation-in-asp-net-mvc-3.aspx

Answer 3

私はあなたのサーバーに渡すデータがどのように見えるかを正確に知りませんが、今私はそれは単なる文字列値「XYZ」であることを前提としています。

{「データ」：「テスト」}

これは完全にOKであり、ASP.NETによって識別された潜在的スレッドを表していない。この場合、サーバは、以下のPOSTデータを取得します。

PS：あなたがデータとして他の値を使用している場合、全体的な話は...異なる場合があります

Answer 4

要求の検証は、データアノテーションを使用してモデルで動作します。モデルでHTMLメイク入力を有効または無効にすることができます。あなたは[AllowHtml]を使ってあなたのモデルでそれを行うことができます。その後、ユーザーが通常のフィールドにHTMLを入力すると、Model.IsValidプロパティを使用してエラーをチェックできます。