百度编辑器ueditor通过ajax方式提交，不需要事先转义字符的方法(异常：从客户端(xxx)中检测到有潜在危险的 Request.Form 值)

最近项目中使用百度编辑神器ueditor，确实是很好用的一款编辑器。官网教程提供的与后端数据交互都是跟表单方式有关的，项目中使用的是ajax方式提交，因此出现了不少问题，现在记录备忘下。

环境：.net4.0、mvc2、chrome浏览器

问题1：提交方式，通过javascript模拟表单数据对象提交，详细了解可以看以下连接：

/article/6949281.html

var xhr = new XMLHttpRequest();
var formData = new FormData();
formData.append("content", ue.getContent());
xhr.open('post', Core.host + '/test/test?id=' + id, true);
xhr.send(formData);

问题2：服务端接收方式

[ValidateInput(false)]
public ActionResult test()
{
var content = Request.Params["content"];
return Content(content);
}

问题3：异常：从客户端(xxx)中检测到有潜在危险的 Request.Form 值

打开web.config文件，配置如下：

<system.web>
<httpRuntime requestValidationMode="2.0"/>
</system.web>

还有就是在Controller中Action方法上加一个[ValidateInput(false)]就成了。

以下是扩展阅读内容，原文地址：/article/4916809.html

先看如下 web.config 的代码：

<system.web>

<compilation debug="true"
targetFramework="4.0"/>

<httpRuntime requestValidationMode="2.0"
/>

<pages validateRequest="false"></pages>

</system.web>
validateRequest 这句我们知道是关闭验证，也就是说提交带标签，比如 <strong>粗体</strong> 这样的值时，ASP.NET 不会报错。

但在 4.0 中还多了一个 requestValidationMode，这是什么意思呢？

requestValidationMode 有两个值：

2.0仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
4.0 默认值。任何 HTTP 请求都会启用请求验证，也就是说不光是网页，还包括 Cookie 等。此时强制启用，不管 validateRequest 为何值。

由于 requestValidationMode="4.0" 是强制启用，所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的，还得将 requestValidationMode 设置为 2.0。

ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击，之前版本的ASP.NET的请求验证是默认启动的,但是他紧紧应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

而在ASP.NET4中，请求验证默认对所有类型的请求启动，因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证，而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样，在自定义httpmodules读取http请求的时候，同样要经过请求验证。

上述原因引发的最终结果就是在ASP.NET4中会引发请求错误，例如检测到有潜在危险的Request.Form值等等，为了解决这个问题，可以通过将验证模式设置为ASP.NET之前的版本。具体步骤是在web.config中加入以下配置：

<httpRuntime requestValidationMode=”2.0″ />

设置了请求模式后，再设置

<system.web>

<pages validaterequest=”false”/>

</system.web>

MVC框架中，在控制方法前加入：

[ValidateInput(false)]属性。

那么就可以禁止请求验证了。但是这会引发安全问题，对安全问题的讨论请看这里：点击这里查看

另外还有一种方法就是实现自己的请求验证类，首先需要在web.config中指定请求验证类类型：

<httpRuntime requestValidationType=”Globals.CustomRequestValidation”/>

然后实现自己的请求验证类，这个类必须从RequestValidator类中继承，具体代码如下：

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

using System.Web.Util;

namespace Globals

{

/// <summary>

/// Summary description for CustomRequestValidation

/// </summary>

public class CustomRequestValidation : RequestValidator

{

public CustomRequestValidation() { }

protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, outint validationFailureIndex)

{

//block script tags

var idx = value.ToLower().IndexOf(“<script”);

if (idx > -1)

{

validationFailureIndex = idx;

return false;

}

else

{

validationFailureIndex = 0;

return true;

}

}

}

}

IsValidRequestString函数返回true则验证通过，否则验证失败，还会出现文章开头所说的错误消息。此请求验证类当检测到<script>标签时就会出现错误，防止脚本注入攻击等等。