项目经历——ASP.Net验证模式问题
来源:互联网 发布:微波炉加热不均匀 知乎 编辑:程序博客网 时间:2024/05/18 10:47
一、问题背景:
在组织部考核系统中,有一个发布任务业务,主要就是在页面编辑之后,存储到数据库中,任务接收者登录系统的时候可以点击任务详情进行查看。其中编辑页面使用的FreeTextBox,但是当我从其他地方复制过来的内容保存时,总是保存失败——页面无任何反应。但是有时手动输入内容的时候不报错,对比一下内容,发现是因为粘贴了乱七八糟的符号报错!
二、问题描述:
从客户端中检测到有潜在危险的 Request.Form 值。
说明:请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidationMode="2.0"。示例: <httpRuntime requestValidationMode="2.0" />。设置此值后,可通过在 Page 指令或 <pages> 配置节中设置 validateRequest="false" 禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。有关更多信息,请参见 http://go.microsoft.com/fwlink/?LinkId=153133。
三、解决思路
为什么?
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个HttpRequestValidationExceptioin。也就是说,页面请求(request)时,含有html或javascript等字符串时。ASP.NET会认为是危险的值,就会抛出辞异常。当页面上使用了所见即所得编辑器(例如使用了fckeditor或FreeTextBox控件等)的时候会发生此异常。
怎么做?
其实在问题描述中已经给了相应的解决方案了:“httpRuntime 配置节中的 requestValidationMode 特性设置为requestValidationMode="2.0"。示例: <httpRuntime requestValidationMode="2.0" />。设置此值后,可通过在 Page 指令或 <pages> 配置节中设置 validateRequest="false" 禁用请求验证。”
根据提示,首先在配置文件中修改验证模式为2.0
其次,在使用到FreeTextBox控件的页面,将 Page 指令或 <pages> 配置节中设置 validateRequest="false" 禁用请求验证。
四、小结
ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest="false"。在之前 的ASP.NET版本中,请求验证是默认启用的,但是它只对页面请求有效(请求.aspx页面),并且也只是在页面被请求时验证。但是在ASP.NET 4.0中,请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前,这也就意味着所有进入ASP.NET请求通道的 所有的HTTP请求都将会被进行请求内容合法性的验证,包括有的自定义HttpHandler,WebService请求,甚至于利用自定义Http Module进行自定义请求处理程序。请求验证处理被提前的后果就是导致我们在页面,或者Controller中设置 ValidateRequest=false,将会失效,无法阻止程序不去验证请求的输入内容了。因为这样做后,验证器无法得到请求的页面是否禁用了验证 请求,因为还没有实例化HttpHandler。在ASP.NET4.0中,并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑,ASP.NET允许我们通过在web.config中配置使用ASP.NET 2.0的请求验证行为:<httpRuntime requestValidationMode=”2.0″ />。
五、参考资料:
http://www.asp.net/whitepapers/aspnet4/breaking-changes
http://www.cnblogs.com/juan/archive/2009/03/31/1426128.html
- 项目经历——ASP.Net验证模式问题
- ASP.NET—From验证
- asp.net验证控件问题
- asp.net验证控件问题
- CSDN社区分享面试经历活动作品13——ASP.NET面试经历分享(最终版)
- ASP.NET——验证控件
- ASP.NET验证控件失效的问题
- 有关Asp.net中Session验证问题
- ASP.NET MVC3 DropDownList 验证问题
- ASP.NET MVC - Windows集成验证问题
- ASP.NET面试经历分享
- ASP.NET面试经历分享
- ASP.NET面试经历分享
- ASP.NET项目开发中的工厂模式
- ASP.NET CORE 项目实战 ---图形验证码的实现
- asp.net项目运行的权限问题
- ASP.NET——From验证:全部代码及讲解
- ASP.NET——From验证:全部代码及讲解
- iPhone Push
- 宏定义的黑魔法 - 宏菜鸟起飞手册
- 印度阻挡不了中国制造(转载)
- Java中static关键字用法总结 (转)
- 超声波处理含油工业水处理工程
- 项目经历——ASP.Net验证模式问题
- 求工作人员工资 hadoop
- UVA 11374 Airport Express SPFA||dijkstra
- configure: error: C++ preprocessor "/lib/cpp" fails sanity check
- adsp中地磁矫正库的使用
- 在Virtual Box上布署Oracle 10G RAC所遇到的问题及解决方法
- Linux内核更新至3.10.27、3.2.54、3.13、3.4.77
- hive hql命令 摘自programming hive
- 几个有用的谷歌Chrome插件