テキストボックスにHTMLタグが入力された場合

環境/言語:[C#.NET]
分類:[ASP.NET]

いつもお世話になっておりますm(_ _)m

さっそく質問なのですが、宜しくお願いいたします。
現在C#.NETの開発環境でオンラインショッピングの管理システムを作成しているのですが

テキストボックスに入力し、
保存ボタンを押して（サーバー側でhtmlやhead、bodyタグを自動で挿入）HTMLファイルを作成するのですが、

テキストボックスにHTMLタグ（<br>等）が入力されていると
下記のようなエラーが発生し保存できません。
---------------------------------------------------
危険な可能性のある Request.Form 値がクライアント･･･から検出されました。
---------------------------------------------------

サーバー側でこれを対処することはできないのでしょうか？
（掲示板でタグを許可するのとか、どうやっているんだろう？）
クライアント側で処理すべきものなのでしょうか？

宜しくお願いいたします。

■No14292に返信(タカさんの記事)
> 危険な可能性のある Request.Form 値がクライアント･･･から検出されました。
> サーバー側でこれを対処することはできないのでしょうか？
> （掲示板でタグを許可するのとか、どうやっているんだろう？）

XSS などの防止のため、validateRequest はデフォルトで true になっています。
validateRequest=false にすれば、検証を解除できます。
が、それだけで解決する問題ではないですね。

2005/12/22(Thu) 11:13:08 編集(投稿者)

> XSS などの防止のため、validateRequest はデフォルトで true になっています。
> validateRequest=false にすれば、検証を解除できます。
> が、それだけで解決する問題ではないですね。

じゃんぬねっとさん、御回答有難う御座います。
じゃんぬねっとさんのサイトは良くお世話になっています(^_^)/

validateRequest=falseにすることでエラーは回避できました。
ただ色々問題があるみたいですね。
調べていたらクロスサイトスクリプティング攻撃というのを見かけましたが
これは<script></script>タグで悪意のあるコードが入力されていた場合･･･ということでしょうか？

一度サーバーに処理を戻した時点でタグ等を変換すれば回避できるの･･･かな？(^_^;)

//　追記
タグを変換するだけじゃだめみたいですね。
<script>から</script>タグまでをサーバーに戻した時点で消去する方法にしました。
//