在 ASP.NET MVC 中禁用请求验证_LINQ | ASP.NET 3.5 | SilverLight2 | MVC

在 ASP.NET MVC 中禁用请求验证

作者：孟宪会发布日期：2009-02-23 23:16:30

默认情况下，ASP.NET MVC 框架禁止用户提交带有潜在危险性的内容，例如，如果在文本输入框中输入HTML内容，则会报告类似如下的错误：

从客户端(TextBox1="<a></a>")中检测到有潜在危险的 Request.Form 值。

这个功能可以减少脚本攻击的可能性，但有时候，又需要允许客户输入HTML内容，如发布文章，又必须禁止请求的验证功能，这个时候，在页面中写：

ASPX 代码


<%@ Page ValidateRequest=”false” %>

这个指令就无效了，也不能在web.config里进行设置，在 MVC 中，如果要禁用请求验证，就需要 [ValidateInput] 属性。比如：

C# 代码


[ValidateInput(false)]   

[AcceptVerbs(HttpVerbs.Post)]   

public ActionResult Create([Bind(Exclude="Id")]Product productToCreate)   

{   

    if (!ModelState.IsValid)   

        return View();   



    _dataModel.AddToProductSet(productToCreate);   

    _dataModel.SaveChanges();  

    return RedirectToAction("Index"); 

}

原文地址：http://dotnet.aspx.cc/article/6187fc22-1492-499c-b7dd-4d84c4078359/print.aspx