ASP.NET MVC ValidateInput(false) 停止使用 xVal 和 [RegularExpression] DataAnnotation

Question

我想截取“<” 正则表达式验证器在表单字段中输入字符。 我将分 3 个步骤描述该问题：

第 1 步：当我尝试提交包含“<”字段的表单时 字符，我收到“潜在危险的请求...” - 正如 ASP.NET 中所预期的那样。

第 2 步：为了避免 ASP.NET 的 RequestValidation，我用“[ValidateInput(false)]”修饰控制器中的 Update 方法。

它按预期工作 - 现在我可以发布“<” 字符无错误。

第 3 步：我将 xVal 与 DataAnnotations 结合使用。 例如，[Required] 或 [StringLength(255)] 按预期工作。

但是当我使用时： [RegularExpression("^[^<>]*$", ErrorMessage = "不允许使用特殊字符。")], 我再次收到“潜在危险请求...”错误< /strong>，尽管有 [ValidateInput(false)] 指令。

发生了什么？ 是否有更简单的正则表达式验证方法，但使用 [ValidateInput(false)] ？ 当然，我希望将验证代码放在模型中，而不是控制器中。

Answer 1

不，这是 MVC 1 + xVal 中的问题。
在 MVC 2 中，验证的工作方式如下
假设（并且不需要 xVal
不再） – Alex42

看起来机器人仍在继续将这个推到顶部。 您能否将答案标记为已接受，以便它知道？

Answer 2

我正在使用 xVal & nhibernate.validator 和我尝试重现此行为，但因为验证器绑定到客户端，所以我无法获得经过客户端验证的值。 当我禁用 javascript 时，它进入服务器端验证，并被正则表达式验证器捕获。

我尝试使用数据注释验证属性和模型绑定器进行同样的操作，它也成功了。

一定还有其他原因导致了错误。 抱歉，我无法提供更多帮助！

Answer 3

尝试使用简单的规则进行验证这个方法。 这至少可以从方程中消除xVal。 如果问题仍然存在，那么我建议它与以下任一相关：

• MVC 默认 Model Binder 的实现
• ，或者您使用的版本中的 MVC 视图引擎存在问题，这在某种程度上允许您指定的属性出现异常在不应该的情况下验证 <

Answer 4

如果它只是一个字段，您可以编写一个例程来查找字符 '<; 或>' 并将其删除。 您可以通过使用子字符串来实现这一点。 希望这有助于

• 使用 For 循环来测试要测试的文本长度（for (int i=1, i <= text.length, ++)）
• 验证以 1 开头的每个字符（例如 ch = text.substring(i,1 )
• 将每个读取的字符添加到 tmp 字符串，除了 '< 或 >'

Answer 5

我想静态方法 Escape() 可以为您解决这个问题。

  Regex r = new Regex(Regex.Escape(expression));

Answer 6

将此行放入 web.config

<httpRuntime requestValidationMode="2.0" />

这是 ASPNET 4.0 中的更改