Một giá trị Request.Form nguy hiểm tiềm tàng đã được phát hiện từ máy khách

Mỗi khi người dùng đăng một cái gì đó có chứa <hoặc >trong một trang trong ứng dụng web của tôi, tôi sẽ bị ném ngoại lệ này.

Tôi không muốn đi vào cuộc thảo luận về sự thông minh của việc ném một ngoại lệ hoặc đánh sập toàn bộ ứng dụng web vì ai đó đã nhập một ký tự vào hộp văn bản, nhưng tôi đang tìm kiếm một cách thanh lịch để xử lý việc này.

Bẫy ngoại lệ và hiển thị

Đã xảy ra lỗi, vui lòng quay lại và nhập lại toàn bộ biểu mẫu của bạn, nhưng lần này vui lòng không sử dụng <

dường như không đủ chuyên nghiệp với tôi.

Vô hiệu hóa xác thực bài đăng ( validateRequest="false") chắc chắn sẽ tránh được lỗi này, nhưng nó sẽ khiến trang dễ bị tấn công.

Lý tưởng nhất: Khi một bài đăng trở lại có chứa các ký tự bị giới hạn HTML, giá trị được đăng trong bộ sưu tập Biểu mẫu sẽ được mã hóa HTML tự động. Vì vậy, .Texttài sản của hộp văn bản của tôi sẽ làsomething & lt; html & gt;

Có cách nào tôi có thể làm điều này từ một người xử lý?

Tôi nghĩ rằng bạn đang tấn công nó từ góc độ sai bằng cách cố gắng mã hóa tất cả dữ liệu được đăng.

Lưu ý rằng " <" cũng có thể đến từ các nguồn bên ngoài khác, như trường cơ sở dữ liệu, cấu hình, tệp, nguồn cấp dữ liệu, v.v.

Hơn nữa, " <" vốn không nguy hiểm. Nó chỉ nguy hiểm trong một ngữ cảnh cụ thể: khi viết các chuỗi chưa được mã hóa thành đầu ra HTML (vì XSS).

Trong các bối cảnh khác, các chuỗi con khác nhau rất nguy hiểm, ví dụ: nếu bạn viết URL do người dùng cung cấp vào một liên kết, chuỗi con " javascript:" có thể nguy hiểm. Mặt khác, ký tự trích dẫn là nguy hiểm khi nội suy các chuỗi trong các truy vấn SQL, nhưng hoàn toàn an toàn nếu đó là một phần của tên được gửi từ một biểu mẫu hoặc đọc từ trường cơ sở dữ liệu.

Điểm mấu chốt là: bạn không thể lọc đầu vào ngẫu nhiên cho các ký tự nguy hiểm, bởi vì bất kỳ ký tự nào cũng có thể nguy hiểm trong các trường hợp phù hợp. Bạn nên mã hóa tại điểm mà một số ký tự cụ thể có thể trở nên nguy hiểm vì chúng chuyển sang một ngôn ngữ phụ khác, nơi chúng có ý nghĩa đặc biệt. Khi bạn viết một chuỗi thành HTML, bạn nên mã hóa các ký tự có ý nghĩa đặc biệt trong HTML, sử dụng Server.HtmlEncode. Nếu bạn chuyển một chuỗi cho một câu lệnh SQL động, bạn nên mã hóa các ký tự khác nhau (hoặc tốt hơn, hãy để khung làm việc đó cho bạn bằng cách sử dụng các câu lệnh đã chuẩn bị hoặc tương tự) ..

Khi bạn chắc chắn rằng bạn mã hóa HTML ở mọi nơi bạn chuyển chuỗi sang HTML, sau đó đặt validateRequest="false"trong lệnh <%@ Page ... %>trong .aspx(các) tệp của bạn .

Trong .NET 4 bạn có thể cần phải làm nhiều hơn một chút. Đôi khi, cũng cần phải thêm <httpRuntime requestValidationMode="2.0" />vào web.config ( tham khảo ).

Có một giải pháp khác cho lỗi này nếu bạn đang sử dụng ASP.NET MVC:

• ASP.NET MVC - các trang validateRequest = false không hoạt động?
• Tại sao ValidateInput (Sai) không hoạt động?
• ASP.NET MVC RC1, VALIDATEINPUT, YÊU CẦU NGUY HIỂM TIỀM NĂNG VÀ PITFALL

Mẫu C #:

[HttpPost, ValidateInput(false)]
public ActionResult Edit(FormCollection collection)
{
    // ...
}

Mẫu Visual Basic:

<AcceptVerbs(HttpVerbs.Post), ValidateInput(False)> _
Function Edit(ByVal collection As FormCollection) As ActionResult
    ...
End Function

Trong ASP.NET MVC (bắt đầu từ phiên bản 3), bạn có thể thêm AllowHtmlthuộc tính vào một thuộc tính trên mô hình của mình.

Nó cho phép một yêu cầu bao gồm đánh dấu HTML trong quá trình ràng buộc mô hình bằng cách bỏ qua xác thực yêu cầu cho thuộc tính.

[AllowHtml]
public string Description { get; set; }

Nếu bạn đang dùng .NET 4.0, hãy đảm bảo bạn thêm tệp này vào tệp web.config bên trong các <system.web>thẻ:

<httpRuntime requestValidationMode="2.0" />

Trong .NET 2.0, xác thực yêu cầu chỉ áp dụng cho aspxcác yêu cầu. Trong .NET 4.0, điều này đã được mở rộng để bao gồm tất cả các yêu cầu. Bạn có thể hoàn nguyên để chỉ thực hiện xác thực XSS khi xử lý .aspxbằng cách chỉ định:

requestValidationMode="2.0"

Bạn có thể vô hiệu hóa yêu cầu xác thực hoàn toàn bằng cách chỉ định:

validateRequest="false"

Đối với ASP.NET 4.0, bạn có thể cho phép đánh dấu làm đầu vào cho các trang cụ thể thay vì toàn bộ trang bằng cách đặt tất cả trong một <location>phần tử. Điều này sẽ đảm bảo tất cả các trang khác của bạn được an toàn. Bạn KHÔNG cần phải đặt ValidateRequest="false"trong trang .aspx của bạn.

<configuration>
...
  <location path="MyFolder/.aspx">
    <system.web>
      <pages validateRequest="false" />
      <httpRuntime requestValidationMode="2.0" />
    </system.web>
  </location>
...
</configuration>

Việc kiểm soát điều này trong web.config sẽ an toàn hơn, bởi vì bạn có thể thấy ở cấp độ trang web cho phép đánh dấu là đầu vào.

Bạn vẫn cần xác nhận hợp lệ đầu vào theo chương trình trên các trang nơi xác thực yêu cầu bị vô hiệu hóa.

Các câu trả lời trước đây rất hay, nhưng không ai nói làm thế nào để loại trừ một trường duy nhất khỏi bị xác thực cho việc tiêm HTML / JavaScript. Tôi không biết về các phiên bản trước, nhưng trong MVC3 Beta, bạn có thể làm điều này:

[HttpPost, ValidateInput(true, Exclude = "YourFieldName")]
public virtual ActionResult Edit(int id, FormCollection collection)
{
    ...
}

Điều này vẫn xác nhận tất cả các trường ngoại trừ trường bị loại trừ. Điều thú vị ở đây là các thuộc tính xác thực của bạn vẫn xác thực trường, nhưng bạn không nhận được ngoại lệ "Giá trị Request.Form nguy hiểm tiềm tàng được phát hiện từ máy khách".

Tôi đã sử dụng điều này để xác nhận một biểu thức chính quy. Tôi đã tạo Xác thực hợp lệ của riêng mình để xem biểu thức chính quy có hợp lệ hay không. Vì các biểu thức thông thường có thể chứa một cái gì đó trông giống như một tập lệnh mà tôi đã áp dụng đoạn mã trên - biểu thức thông thường vẫn đang được kiểm tra xem nó có hợp lệ hay không, nhưng không phải nếu nó chứa tập lệnh hoặc HTML.

Trong ASP.NET MVC, bạn cần đặt requestValidationMode = "2.0" và validateRequest = "false" trong web.config và áp dụng thuộc tính ValidateInput cho hành động điều khiển của bạn:

<httpRuntime requestValidationMode="2.0"/>

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

và

[Post, ValidateInput(false)]
public ActionResult Edit(string message) {
    ...
}

Bạn có thể mã hóa HTML nội dung hộp văn bản, nhưng thật không may, điều đó sẽ không ngăn chặn ngoại lệ xảy ra. Theo kinh nghiệm của tôi, không có cách nào khác, và bạn phải vô hiệu hóa xác nhận trang. Bằng cách làm điều đó bạn đang nói: "Tôi sẽ cẩn thận, tôi hứa."

Đối với MVC, bỏ qua xác thực đầu vào bằng cách thêm

[ValidateInput (sai)]

phía trên mỗi Hành động trong Bộ điều khiển.

Bạn có thể bắt lỗi đó trong Global.asax. Tôi vẫn muốn xác nhận, nhưng hiển thị một thông điệp thích hợp. Trên blog được liệt kê dưới đây, một mẫu như thế này đã có sẵn.

    void Application_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();

        if (ex is HttpRequestValidationException)
        {
            Response.Clear();
            Response.StatusCode = 200;
            Response.Write(@"[html]");
            Response.End();
        }
    }

Chuyển hướng đến một trang khác cũng có vẻ như là một phản ứng hợp lý cho ngoại lệ.

http://www.romsteady.net/blog/2007/06/how-to-catch-httprequestvalidationex805.html

Câu trả lời cho câu hỏi này là đơn giản:

var varname = Request.Unvalidated["parameter_name"];

Điều này sẽ vô hiệu hóa xác nhận cho các yêu cầu cụ thể.

Xin lưu ý rằng một số điều khiển .NET sẽ tự động mã hóa HTML đầu ra. Chẳng hạn, đặt thuộc tính .Text trên điều khiển TextBox sẽ tự động mã hóa nó. Điều đó đặc biệt có nghĩa là chuyển đổi <thành <, >vào >và &thành &. Vì vậy, hãy cảnh giác khi làm điều này ...

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

Tuy nhiên, thuộc tính .Text cho HyperLink, Nghĩa đen và Nhãn sẽ không mã hóa mọi thứ HTML, do đó, bao bọc Server.HtmlEncode (); xung quanh bất cứ điều gì được đặt trên các thuộc tính này là bắt buộc nếu bạn muốn ngăn <script> window.location = "http://www.google.com"; </script>không cho xuất ra trang của mình và sau đó được thực thi.

Làm một thử nghiệm nhỏ để xem những gì được mã hóa và những gì không.

Trong tệp web.config, trong các thẻ, chèn phần tử httpR.78 với thuộc tính requestValidationMode = "2.0". Đồng thời thêm thuộc tính validateRequest = "false" trong phần tử trang.

Thí dụ:

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>

Nếu bạn không muốn vô hiệu hóa ValidateRequest, bạn cần triển khai một hàm JavaScript để tránh ngoại lệ. Nó không phải là lựa chọn tốt nhất, nhưng nó hoạt động.

function AlphanumericValidation(evt)
{
    var charCode = (evt.charCode) ? evt.charCode : ((evt.keyCode) ? evt.keyCode :
        ((evt.which) ? evt.which : 0));

    // User type Enter key
    if (charCode == 13)
    {
        // Do something, set controls focus or do anything
        return false;
    }

    // User can not type non alphanumeric characters
    if ( (charCode <  48)                     ||
         (charCode > 122)                     ||
         ((charCode > 57) && (charCode < 65)) ||
         ((charCode > 90) && (charCode < 97))
       )
    {
        // Show a message or do something
        return false;
    }
}

Sau đó, trong mã phía sau, trên sự kiện PageLoad, hãy thêm thuộc tính vào điều khiển của bạn bằng mã tiếp theo:

Me.TextBox1.Attributes.Add("OnKeyPress", "return AlphanumericValidation(event);")

Có vẻ như chưa có ai đề cập đến những điều dưới đây, nhưng nó đã khắc phục vấn đề cho tôi. Và trước khi bất cứ ai nói vâng, đó là Visual Basic ... yuck.

<%@ Page Language="vb" AutoEventWireup="false" CodeBehind="Example.aspx.vb" Inherits="Example.Example" **ValidateRequest="false"** %>

Tôi không biết có bất kỳ nhược điểm nào không, nhưng đối với tôi điều này thật tuyệt vời.

Một giải pháp khác là:

protected void Application_Start()
{
    ...
    RequestValidator.Current = new MyRequestValidator();
}

public class MyRequestValidator: RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        bool result = base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

        if (!result)
        {
            // Write your validation here
            if (requestValidationSource == RequestValidationSource.Form ||
                requestValidationSource == RequestValidationSource.QueryString)

                return true; // Suppress error message
        }
        return result;
    }
}

Nếu bạn đang sử dụng khung 4.0 thì mục nhập trong web.config (<PagesterateRequest = "false" />)

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

Nếu bạn đang sử dụng framework 4.5 thì mục trong web.config (requestValidationMode = "2.0")

<system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" requestValidationMode="2.0"/>
</system.web>

Nếu bạn chỉ muốn một trang duy nhất, Trong tệp aspx của bạn, bạn nên đặt dòng đầu tiên như sau:

<%@ Page EnableEventValidation="false" %>

nếu bạn đã có một cái gì đó như <% @ Trang, vì vậy chỉ cần thêm phần còn lại => EnableEventValidation="false"%>

Tôi khuyên bạn không nên làm điều đó.

Trong ASP.NET, bạn có thể bắt ngoại lệ và làm một cái gì đó về nó, chẳng hạn như hiển thị một thông báo thân thiện hoặc chuyển hướng đến một trang khác ... Ngoài ra, có khả năng bạn có thể tự xử lý xác thực ...

Hiển thị tin nhắn thân thiện:

protected override void OnError(EventArgs e)
{
    base.OnError(e);
    var ex = Server.GetLastError().GetBaseException();
    if (ex is System.Web.HttpRequestValidationException)
    {
        Response.Clear();
        Response.Write("Invalid characters."); //  Response.Write(HttpUtility.HtmlEncode(ex.Message));
        Response.StatusCode = 200;
        Response.End();
    }
}

Tôi đoán bạn có thể làm điều đó trong một mô-đun; nhưng điều đó để lại một số câu hỏi; Điều gì nếu bạn muốn lưu đầu vào vào cơ sở dữ liệu? Đột nhiên vì bạn đang lưu dữ liệu được mã hóa vào cơ sở dữ liệu nên cuối cùng bạn tin tưởng đầu vào từ đó có lẽ là một ý tưởng tồi. Lý tưởng nhất là bạn lưu trữ dữ liệu chưa được mã hóa thô trong cơ sở dữ liệu và mã hóa mỗi lần.

Vô hiệu hóa bảo vệ ở cấp độ trên mỗi trang và sau đó mã hóa mỗi lần là một lựa chọn tốt hơn.

Thay vì sử dụng Server.HtmlEncode, bạn nên xem thư viện Anti-XSS mới hơn, đầy đủ hơn từ nhóm Microsoft ACE.

Nguyên nhân

ASP.NET theo mặc định xác nhận tất cả các điều khiển đầu vào cho các nội dung có khả năng không an toàn có thể dẫn đến kịch bản chéo trang (XSS) và SQL tiêm . Do đó, nó không cho phép nội dung như vậy bằng cách ném ngoại lệ trên. Theo mặc định, nên cho phép kiểm tra này xảy ra trên mỗi postback.

Giải pháp

Trong nhiều trường hợp, bạn cần gửi nội dung HTML đến trang của mình thông qua Rich TextBoxes hoặc Rich Text Editorors. Trong trường hợp đó, bạn có thể tránh ngoại lệ này bằng cách đặt thẻ ValidateRequest trong lệnh @Pagethành false.

<%@ Page Language="C#" AutoEventWireup="true" ValidateRequest = "false" %>

Điều này sẽ vô hiệu hóa xác thực các yêu cầu cho trang bạn đã đặt cờ ValidateRequest thành false. Nếu bạn muốn vô hiệu hóa điều này, hãy kiểm tra trong suốt ứng dụng web của bạn; bạn sẽ cần đặt nó thành false trong phần web.config <system.web> của bạn

<pages validateRequest ="false" />

Đối với các khung công tác .NET 4.0 trở lên, bạn cũng cần thêm dòng sau vào phần <system.web> để thực hiện công việc trên.

<httpRuntime requestValidationMode = "2.0" />

Đó là nó. Tôi hy vọng điều này sẽ giúp bạn thoát khỏi vấn đề trên.

Tham khảo bởi: Lỗi ASP.Net : Đã phát hiện giá trị Request.Form nguy hiểm tiềm tàng từ máy khách

Tôi đã tìm thấy một giải pháp sử dụng JavaScript để mã hóa dữ liệu, được giải mã bằng .NET (và không yêu cầu jQuery).

• Biến hộp văn bản thành một phần tử HTML (như textarea) thay vì tệp ASP.
• Thêm một trường ẩn.

• Thêm chức năng JavaScript sau vào tiêu đề của bạn.

  hàm boo () {targetText = document.getEuityById ("HiddenField1"); sourceText = document.getEuityById ("hộp người dùng"); targetText.value = esc (sourceText.innerText); }

Trong textarea của bạn, bao gồm một onchange gọi boo ():

<textarea id="userbox"  onchange="boo();"></textarea>

Cuối cùng, trong .NET, sử dụng

string val = Server.UrlDecode(HiddenField1.Value);

Tôi biết rằng đây là một chiều - nếu bạn cần hai chiều, bạn sẽ phải sáng tạo, nhưng điều này cung cấp giải pháp nếu bạn không thể chỉnh sửa web.config

Đây là một ví dụ tôi (MC9000) đã đưa ra và sử dụng thông qua jQuery:

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

Và đánh dấu:

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

Điều này làm việc tuyệt vời. Nếu một hacker cố gắng đăng bài thông qua bỏ qua JavaScript, họ sẽ chỉ thấy lỗi. Bạn cũng có thể lưu tất cả dữ liệu được mã hóa trong cơ sở dữ liệu, sau đó hủy bỏ nó (ở phía máy chủ) và phân tích & kiểm tra các cuộc tấn công trước khi hiển thị ở nơi khác.

Các giải pháp khác ở đây rất hay, tuy nhiên có một chút đau đớn ở phía sau khi phải áp dụng [AllowHtml] cho mọi thuộc tính Mô hình duy nhất, đặc biệt là nếu bạn có hơn 100 mô hình trên một trang web có kích thước khá.

Nếu giống như tôi, bạn muốn tắt tính năng (IMHO khá vô nghĩa) này ra khỏi trang web, bạn có thể ghi đè phương thức Execute () trong bộ điều khiển cơ sở của bạn (nếu bạn chưa có bộ điều khiển cơ bản tôi khuyên bạn nên tạo một, chúng có thể khá hữu ích cho việc áp dụng chức năng phổ biến).

    protected override void Execute(RequestContext requestContext)
    {
        // Disable requestion validation (security) across the whole site
        ValidateRequest = false;
        base.Execute(requestContext);
    }

Chỉ cần đảm bảo rằng bạn đang mã hóa HTML mọi thứ được đưa ra cho các lượt xem xuất phát từ đầu vào của người dùng (dù sao đó là hành vi mặc định trong ASP.NET MVC 3 với Dao cạo, vì vậy trừ khi vì một lý do kỳ quái nào đó bạn đang sử dụng Html.Raw () không nên yêu cầu tính năng này.

Tôi đã nhận được lỗi này quá.

Trong trường hợp của tôi, một người dùng đã nhập một ký tự có dấu ávào Tên vai trò (liên quan đến nhà cung cấp thành viên ASP.NET).

Tôi chuyển tên vai trò cho một phương thức để cấp cho Người dùng vai trò đó và $.ajaxyêu cầu bài đăng đã thất bại thảm hại ...

Tôi đã làm điều này để giải quyết vấn đề:

Thay vì

data: { roleName: '@Model.RoleName', users: users }

Làm cái này

data: { roleName: '@Html.Raw(@Model.RoleName)', users: users }

@Html.Raw đã lừa

Tôi đã nhận được tên Vai trò là giá trị HTML roleName="Cadastro bás". Giá trị này với thực thể HTML áđã bị ASP.NET MVC chặn. Bây giờ tôi nhận được roleNamegiá trị tham số theo cách nó phải là: roleName="Cadastro Básico"và công cụ ASP.NET MVC sẽ không chặn yêu cầu nữa.

Vô hiệu hóa xác nhận trang nếu bạn thực sự cần những nhân vật đặc biệt như, >,, <, vv Sau đó, đảm bảo rằng khi người dùng nhập vào sẽ được hiển thị, dữ liệu là HTML mã hóa.

Có một lỗ hổng bảo mật với xác nhận trang, vì vậy nó có thể được bỏ qua. Ngoài ra, xác nhận trang không nên chỉ dựa vào.

Xem: http://web.archive.org/web/20080913071637/http://www.procheckup.com:80/PDFs/bypassing-dot-NET-ValidateRequest.pdf

Bạn cũng có thể sử dụng chức năng thoát (chuỗi) của JavaScript để thay thế các ký tự đặc biệt. Sau đó, phía máy chủ sử dụng Máy chủ. URLDecode (chuỗi) để chuyển đổi lại.

Bằng cách này, bạn không phải tắt xác thực đầu vào và sẽ rõ ràng hơn với các lập trình viên khác rằng chuỗi có thể có nội dung HTML.

Tôi đã kết thúc việc sử dụng JavaScript trước mỗi lần đăng lại để kiểm tra các ký tự bạn không muốn, chẳng hạn như:

<asp:Button runat="server" ID="saveButton" Text="Save" CssClass="saveButton" OnClientClick="return checkFields()" />

function checkFields() {
    var tbs = new Array();
    tbs = document.getElementsByTagName("input");
    var isValid = true;
    for (i=0; i<tbs.length; i++) {
        if (tbs(i).type == 'text') {
            if (tbs(i).value.indexOf('<') != -1 || tbs(i).value.indexOf('>') != -1) {
                alert('<> symbols not allowed.');
                isValid = false;
            }
        }
    }
    return isValid;
}

Cấp cho trang của tôi chủ yếu là nhập dữ liệu, và có rất ít yếu tố thực hiện postback, nhưng ít nhất dữ liệu của họ được giữ lại.

Bạn có thể sử dụng một cái gì đó như:

var nvc = Request.Unvalidated().Form;

Sau này, nvc["yourKey"]nên làm việc.

Miễn là đây chỉ là các ký tự "<" và ">" (chứ không phải là trích dẫn kép) và bạn đang sử dụng chúng trong ngữ cảnh như <input value = " this " />, bạn vẫn an toàn (trong khi đối với <textarea > cái này </ textarea> dĩ nhiên bạn sẽ dễ bị tổn thương). Điều đó có thể đơn giản hóa tình huống của bạn, nhưng đối với bất cứ điều gì nhiều hơn, hãy sử dụng một trong những giải pháp được đăng khác.

Nếu bạn chỉ muốn nói với người dùng của mình rằng <và> không được sử dụng NHƯNG, bạn không muốn toàn bộ biểu mẫu được xử lý / đăng lại (và mất tất cả đầu vào) trước đó, bạn không thể đơn giản đưa vào trình xác nhận xung quanh trường để sàng lọc các ký tự đó (và có thể nguy hiểm khác)?

Không có gợi ý nào làm việc cho tôi. Dù sao thì tôi cũng không muốn tắt tính năng này cho toàn bộ trang web vì 99% tôi không muốn người dùng của mình đặt HTML trên các biểu mẫu web. Tôi chỉ tạo ra công việc của riêng mình xung quanh phương pháp vì tôi là người duy nhất sử dụng ứng dụng cụ thể này. Tôi chuyển đổi đầu vào thành HTML ở mã phía sau và chèn nó vào cơ sở dữ liệu của tôi.