Cómo evitar la entrada de HTML en el cuadro de texto del formulario web ASP.NET

Question

Tengo varios cuadros de texto en un formulario web ASP.NET. Quiero asegurarme de que los usuarios estén no ingresando HTML en esos cuadros de texto. Sin embargo, no estoy seguro de cómo evitar que se ingrese HTML. Debido a esto, decidí que solo quiero permitir caracteres alfanuméricos, espacios, signos de exclamación, signos agudos, signos de dólar, signos de porcentaje, carátulas, estrellas y paréntesis izquierdo y derecho. Estoy omitiendo el signo y porque no quiero que ingresen algo así como "< script &rt; ..."

¿Cómo puedo hacer esto? ¿Lo estoy haciendo de la manera correcta?

¡Gracias!

Answer 1

un vistazo aquí http://msdn.microsoft.com/en-us/library/ff649310.aspx

Se puede poner una declaración general en el web.config ValidateRequest = true comprobará todas las entradas de usuario y un error si un usuario inserta algo con su mala disposición.

Si necesita permitir algunas etiquetas html, tendrá que hacer las suyas.

Answer 2

La página, de forma predeterminada, evitará que los usuarios publiquen HTML o secuencias de comandos en cuadros de texto o áreas de texto. Ver MSDN

Answer 3

Se puede utilizar un método para limpiar los códigos HTML de entrada como:

public static string ClearHTML(string Str, Nullable<int> Character) 
{ 
    string MetinTxtRegex = Regex.Replace(Str, "<(.|\n)+?>", " "); 

    string MetinTxtSubStr = string.Empty; 

    if (Character.HasValue) 
    { 
     if (MetinTxtRegex.Length > Character) 
     { 
      MetinTxtSubStr = MetinTxtRegex.Substring(0, Character.Value); 
      MetinTxtSubStr = MetinTxtSubStr.Substring(0, MetinTxtSubStr.LastIndexOf(" ")) + "..."; 
     } 
     else 
     { 
      MetinTxtSubStr = MetinTxtRegex; 
     } 
    } 
    else 
    { 
     MetinTxtSubStr = MetinTxtRegex; 
    } 
    return MetinTxtSubStr; 
} 

Answer 4

he utilizado:

HttpUtility.HtmlEncode(); 

Más información here.