从客户端(txtUEditor="<p>a</p>")中检测到有潜在危险的 Request.Form 值。
1,一种方法是在web.config中的pages节中设置,如:
<system.web > <pages validateRequest="false" ></pages > </system.web >
但是这种方式并不好,太过暴力,因为它会使整个项目所有的页面都不会再验证提交的内容,安全性大大降低。
2,推荐做法:
给Action加一个Attribute:[ValidateInput(false)],这样只会让该页面不验证提交的内容,而不会影响到其他页面。
[HttpPost]
[ValidateInput(false)]
public ActionResult Publish(FormCollection form)
{
return View();
}