Всем привет!

У меня пользователи пишут записи в свои блоги, оформляют статьи в html редакторе, в базу идет html текст, контроллер создания записи:




модель статьи:



как видите разрешен html текст.

Недавно обновил версию асп, ну и все nuget пакеты, кроме обновления пакетов ничего больше не трогал. При публикации записи, на локале все ок, публикуется, а на сервере вот такой эксепшн:

Обнаружено потенциально опасное значение Request.Form, полученное от клиента (Text="
выаываываывав

...").

выаываываывав - это тест для публикации. Все пересмотрел, не публикует хоть тресни, а на локале (локал настроен на боевую БД на хосте) все работает.

В итоге на контроллер создания записи пришлось навесить:

[ValidateInput(false)]

теперь работает, но как же раньше оно работало? И я так понимаю это некая брешь в безопасности?

CalabongaСмотря с какой на какую версию было обновление. Всё может быть, а может быть в настройках значения "по умолчанию" изменились для страниц. Трудно сказать...

спасибо за ответ


в настройках значения "по умолчанию" изменились для страниц.
---
а где эти настройки глянуть?


а как в моем случае обезопасить ввод, ведь я не проверяю что там пользователь запишет.... он может и скрипт записать и все что хочет....

cherik1Sputnick, ну я бы проверку на слово <script> вставил и все возможные события

как то не комильфо.... а iframe.... тоже проверку делать? Где же изящество/безопасность которую фреймворк дает