asp.net富文本提交（不使用2.0請求方式，不禁用頁面檢查）

異常詳細信息: System.Web.HttpRequestValidationException:從客戶端中檢測到有潛在危險的 Request.Form 值

很熟悉有木有，相信只要做asp.net的得碰到過這個異常，但怎么解決呢？你會發現無論你是百度還是Google，解決方法都是validateRequest="false" ，以致於微軟都實在看不過去了，在4.0中把XSS(跨站腳本攻擊)給改成不能禁用了，可這並不能難倒咱們聰明的程序員，還可以在配置文件設置<httpRuntime requestValidationMode="2.0" ></httpRuntime>，結果就是整個項目為了用一個富文件都用2.0方式提交表單了。

注：網上有篇文章雖然提到了這個設置不安全，也給出了異常處理方式，但對於富文本卻還是說不得不用validateRequest="false"方式。

 

個人對上面的做法評論是：“ 為了自己進出方便就把自家房門給拆了”。

 

那么有沒有不降低安全性又能正確提交表單的呢？

當然有了。首先我們知道，造成出現這個異常的原是表單提交時不能含有"<",">"等字符，那么用一種可對稱加密的方法將字符串編碼后再傳，后台接收后再解碼不就可以繞過檢查了么？

下面的代碼是我從實際項目提取出來的，之所以用圖片，一是因為我用的 為知筆記(Wiz)做的筆記，對代碼支持不是很好，還有個最大的原因，我不想看到這篇文章的人直接去拷代碼，所謂“授人以魚，不如授之以漁”，我只是提供一個解決問題的思路而已（代碼只是用來告訴讀者，這個思路是可以解決問題的）。

 

示例代碼（百度UEditor，asp.net，C#，javaseript）

前台代碼

前台提交按紐

后以賦值

后台取值 

 

Base64編解碼

 

C#

 

JS文件

/*
編碼規則

Base64編碼的思想是是采用64個基本的ASCII碼字符對數據進行重新編碼。
它將需要編碼的數據拆分成字節數組。
以3個字節為一組。按順序排列24 位數據，再把這24位數據分成4組，即每組6位。
再在每組的的最高位前補兩個0湊足一個字節。
這樣就把一個3字節為一組的數據重新編碼成了4個字節。
當所要編碼的數據的字節數不是3的整倍數，
也就是說在分組時最后一組不夠3個字節。
這時在最后一組填充1到2個0字節。
並在最后編碼完成后在結尾添加1到2個 “=”。 

*/

//下面是64個基本的編碼
var base64EncodeChars = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/";
var base64DecodeChars = new Array(
- 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1,
- 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1,
- 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, - 1, 62, - 1, - 1, - 1, 63,
52, 53, 54, 55, 56, 57, 58, 59, 60, 61, - 1, - 1, - 1, - 1, - 1, - 1,
- 1, 0, 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14,
15, 16, 17, 18, 19, 20, 21, 22, 23, 24, 25, - 1, - 1, - 1, - 1, - 1,
- 1, 26, 27, 28, 29, 30, 31, 32, 33, 34, 35, 36, 37, 38, 39, 40,
41, 42, 43, 44, 45, 46, 47, 48, 49, 50, 51, - 1, - 1, - 1, - 1, - 1);

//編碼的方法
function base64encode(str) {
     var out, i, len;
     var c1, c2, c3;
    len = str.length;
    i = 0;
    out = "";
     while (i < len) {
        c1 = str.charCodeAt(i ++) & 0xff;
         if (i == len) {
            out += base64EncodeChars.charAt(c1 >> 2);
            out += base64EncodeChars.charAt((c1 & 0x3) << 4);
            out += "==";
             break;
        }
        c2 = str.charCodeAt(i ++);
         if (i == len) {
            out += base64EncodeChars.charAt(c1 >> 2);
            out += base64EncodeChars.charAt(((c1 & 0x3) << 4) | ((c2 & 0xF0) >> 4));
            out += base64EncodeChars.charAt((c2 & 0xF) << 2);
            out += "=";
             break;
        }
        c3 = str.charCodeAt(i ++);
        out += base64EncodeChars.charAt(c1 >> 2);
        out += base64EncodeChars.charAt(((c1 & 0x3) << 4) | ((c2 & 0xF0) >> 4));
        out += base64EncodeChars.charAt(((c2 & 0xF) << 2) | ((c3 & 0xC0) >> 6));
        out += base64EncodeChars.charAt(c3 & 0x3F);
    }
     return out;
}

//解碼的方法
function base64decode(str) {
     var c1, c2, c3, c4;
     var i, len, out;
    len = str.length;
    i = 0;
    out = "";
     while (i < len) {
         do {
            c1 = base64DecodeChars[str.charCodeAt(i ++) & 0xff];
        } while (i < len && c1 == - 1);
         if (c1 == - 1)
             break;
         do {
            c2 = base64DecodeChars[str.charCodeAt(i ++) & 0xff];
        } while (i < len && c2 == - 1);
         if (c2 == - 1)
             break;
        out += String.fromCharCode((c1 << 2) | ((c2 & 0x30) >> 4));
         do {
            c3 = str.charCodeAt(i ++) & 0xff;
             if (c3 == 61)
                 return out;
            c3 = base64DecodeChars[c3];
        } while (i < len && c3 == - 1);
         if (c3 == - 1)
             break;
        out += String.fromCharCode(((c2 & 0XF) << 4) | ((c3 & 0x3C) >> 2));
         do {
            c4 = str.charCodeAt(i ++) & 0xff;
             if (c4 == 61)
                 return out;
            c4 = base64DecodeChars[c4];
        } while (i < len && c4 == - 1);
         if (c4 == - 1)
             break;
        out += String.fromCharCode(((c3 & 0x03) << 6) | c4);
    }
     return out;
}

function utf16to8(str) {
     var out, i, len, c;
    out = "";
    len = str.length;
     for (i = 0; i < len; i ++) {
        c = str.charCodeAt(i);
         if ((c > = 0x0001) && (c < = 0x007F)) {
            out += str.charAt(i);
        } else if (c > 0x07FF) {
            out += String.fromCharCode(0xE0 | ((c >> 12) & 0x0F));
            out += String.fromCharCode(0x80 | ((c >> 6) & 0x3F));
            out += String.fromCharCode(0x80 | ((c >> 0) & 0x3F));
        } else {
            out += String.fromCharCode(0xC0 | ((c >> 6) & 0x1F));
            out += String.fromCharCode(0x80 | ((c >> 0) & 0x3F));
        }
    }
     return out;
}

function utf8to16(str) {
     var out, i, len, c;
     var char2, char3;
    out = "";
    len = str.length;
    i = 0;
     while (i < len) {
        c = str.charCodeAt(i ++);
         switch (c >> 4) {
             case 0 : case 1 : case 2 : case 3 : case 4 : case 5 : case 6 : case 7 :
                 // 0xxxxxxx
                out += str.charAt(i - 1);
                 break;
             case 12 : case 13 :
                 // 110x xxxx   10xx xxxx
                char2 = str.charCodeAt(i ++);
                out += String.fromCharCode(((c & 0x1F) << 6) | (char2 & 0x3F));
                 break;
             case 14 :
                 // 1110 xxxx  10xx xxxx  10xx xxxx
                char2 = str.charCodeAt(i ++);
                char3 = str.charCodeAt(i ++);
                out += String.fromCharCode(((c & 0x0F) << 12) |
                               ((char2 & 0x3F) << 6) |
                               ((char3 & 0x3F) << 0));
                 break;
        }
    }
     return out;
}

////編碼
//value = base64encode(utf16to8(src))

////解碼
//value = utf8to16(base64decode(src))

上面的js的Base64編解碼代碼都是在網站摘的，原作者我也不知道是誰，有些小的修改。

 

當然編碼不一定要用Base64，也可以用javascript的encodeURIComponent編碼在后台用Server.UrlEncode 或 HttpUtility.UrlEncode解碼，我一開始用的就是這個方法，但是提交后格式有些變動。

但個人認為Bases64編碼能更好的還原格式，不然viewstate就不會用它了。

來自為知筆記(Wiz)Time=2013-06-05 17:36:49