ValidateRequest 属性

最新推荐文章于 2019-07-25 07:41:13 发布
最新推荐文章于 2019-07-25 07:41:13 发布
阅读量3.9k 收藏 1
点赞数 1
文章标签: html asp.net 正则表达式 设计模式 公告 c#

                在 ASP.NET 1.1 中,@Page 指令上的 ValidateRequest 属性被打开后,将检查以确定用户没有在查询字符串、Cookie 或表单域中发送有潜在危险性的 HTML 标记。如果检测到这种情况,将引发异常并中止该请求。该属性默认情况下是打开的;您无需进行任何操作就可以得到保护。如果您想允许 HTML 标记通过,必须主动禁用该属性。
  <%@ Page ValidateRequest="false" %>
ValidateRequest不是 万能的药方,无法替代有效的验证层。

  没有任何关闭 ValidateRequest 的理由。您可以禁用它,但必须有非常好的理由;其中一条这样的理由可能是用户需要能够将某些 HTML 张贴到站点,以便得到更好的格式设置选项。这种情况下,您应当限制所允许的 HTML 标记(<pre>、<b>、<i>、<p>、<br>、<hr>)的数目,并编写一个正则表达式,以确保不会允许或接受任何其他内容。

以下是一些有助于防止 ASP.NET 遭受 XSS 攻击的其他提示:

? 使用 HttpUtility.HtmlEncode 将危险的符号转换为它们的 HTML 表示形式。
 
? 使用双引号而不是单引号,这是因为 HTML 编码仅转义双引号。
 
? 强制一个代码页以限制可以使用的字符数。
 


总之,使用但是不要完全信任 ValidateRequest 属性,不要太过懒惰。花些时间,从根本上理解 XSS 这样的安全威胁,并规划以一个关键点为中心的防御策略:所有的用户输入都是危险的。

 

自我总结语:

 

通常用于:当发布公告等信息时,加入了第三方编辑器的情况之下,提交数据时,一定要禁止该属性<%@ Page ValidateRequest="false" %>
如果在1.0版本中webconfig不支持该代码,则应针对每个页面进行设置.

你只需要在那一页的HTML设计模式下把validateRequest="false"添加到Page命令中即可,例如:  
  <%@   Page   language="c#"   Codebehind="RoleDepart.aspx.cs"   AutoEventWireup="false"   Inherits="roleManage.RoleDepart"   validateRequest="false"%>

 

快乐上午茶
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net在webconfig文件中开关闭验证
不懂love的博客
10-25 1322
先看如下 web.config 的代码:.web>      debug="true" targetFramework="4.0"/>      requestValidationMode="2.0" />      validateRequest="false">> .web>validateRequest 这句我们知道是关闭验证,也就是说提交带标签,比如 粗体 这样的值时,ASP.NET 不会
.NET Framework 4.0-RequestValidationMode
weixin_34326558的博客
05-20 329
先看如下 web.config 的代码: &lt;system.web&gt;     &lt;compilation debug="true" targetFramework="4.0"/&gt;     &lt;httpRuntime requestValidationMode="2.0" /&gt;     &lt;pages validateRequest="false&q
ASP.net中的validaterequest
weixin_34314962的博客
11-21 193
这个属性是用来验证客户端用户的输入的,用来验证用户的输入中是否有危险字符的,这个属性的默认值为true,微软之所以这么做是为了提高asp.net程序的安全性,所以很多程序员即使不知道怎么来防御黑客的攻击,asp.net的一些默认属性等内容已经对安全进行了控制,这也是为什么asp.net的程序相对来说比较安全的原因!  既然这个属性的默认值为true,而且asp.net页面的回发又很频繁,那么如果没...
ValidateRequest
pmandy的专栏
11-15 133
指示是否应发生请求验证。如果为true,请求验证将根据具有潜在危险的值的硬编码列表检查所有输入数据。默认值为 true。 如果希望用户输入HTML代码,请设置为false 。 注意:在ASP.NET 2.0中不验证ashx请求,但是ASP.NET 4.0默认会验证, 如果希望在4.0中兼容2.0的行为,请在web.config中配置 ...
请慎用ASP.NetvalidateRequest="false"
郑成的博客
06-25 491
      ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: 以下是引用片段:Server Error in /Your
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证
WebMatersl的专栏
05-01 5553
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证 说明:   请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在   Page   指令或   配置节中设置   validateRequest=false   可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检
asp.net中“从客户端中检测到有潜在危险的Request.Form值”错误的解决办法
10-23
1. 可以通过在页面指令中设置ValidateRequest属性为“false”来关闭请求验证。这需要在.aspx文件的页面指令中添加validateRequest="false"。 示例: `...
ASP.NET从客户端中检测到有潜在危险的request.form值的3种解决方法
10-24
在***页面的头部,可以通过设置Page指令中的ValidateRequest属性为"false",来禁止页面级别的输入验证。这样,该页面提交的数据就不会被验证。示例代码如下: ```asp <%@Page Language="C#" ValidateRequest="false...
从客户端检测到有潜在危险的Request.Form值的asp.net代码
10-30
类似地,在ASPX页面的Page指令中,也可以设置validateRequest属性为"false",即<%@ Page validateRequest="false" %>。这两种方式虽然简单,却可能使应用程序面临XSS攻击的风险。因此,在大多数情况下,并不推荐禁用...
asp.net 从客户端中检测到有潜在危险的 Request.Form 值错误解
10-29
在.aspx页面的指令部分中,可以通过设置validateRequest属性为“false”来禁用请求验证。例如: ```asp <%@ Page validateRequest="false" language="c#" Codebehind="WriteNews.aspx.cs" AutoEventWireup="false" ...
请慎用ASP.NetvalidateRequest="false"属性
weixin_33686714的博客
05-16 175
阅读全文下载代码:http://www.cckan.net/forum.php?mod=viewthread&amp;tid=74 在客户端的文体框里输入“&lt;任何字符&gt;例如&lt;user&gt;”等字符的时候为出现这样的错误 序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,...
validateRequest
lavly的专栏
08-13 565
ASP.NET 默认会自动验证客户端提交的值,这是为了安全,但一方面也带来了麻烦,比如我们在客户端界面输入:,就会产生异常,这显然妨碍了我们的程序工作,参照 .NET Framework 2.0 原话进行解决:从客户端(tb="")中检测到有潜在危险的 Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝
ASP.NET 页面中的 ValidateRequest属性
陈希章@中国
02-28 1374
ValidateRequest 指示是否应发生请求验证。如果为 true,请求验证将根据具有潜在危险的值的硬编码列表检查所有输入数据。如果出现匹配情况,将引发 HttpRequestValidationException 异常。默认值为 true。 该功能在计算机配置文件 (Machine.config) 中启用。可以在应用程序配置文件 (Web.config) 中或在页上将该属性设置为 false 来禁用该功能。 注意: 该功能有助于减少对简单页或 ASP.NET 应用程序进行跨站点脚本攻击的
关于ASP.NetvalidateRequest=false(验证请求)
wqhtiger的专栏
02-05 749
ASP.NetvalidateRequest=false       validateRequest="false"   指是否要IIS验证页面提交的非法字符,比如:>,    ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpReques
关于.net的ValidateRequest=false失效
weixin_30399821的博客
07-25 131
ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest="false"。或者在MVC中,我们可以通过在Controller或者Action上设置[V...
ValidateRequest=false 不在.net2.0 中该怎么办?
aolian0059的博客
04-22 127
ValidateRequest=false 不在.net2.0 中该怎么办? ASP.NET请求验证功能可以给我提供应用程序的保存,避免站点受到XSS的攻击。 但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config system.web 节点中设置validateR...
ASP.NET 4.0验证请求(更新)<-加入Google Wave一起讨论!
weixin_33713707的博客
10-31 113
A potentially dangerous Request.Form value was detected from the client (ctl00$MainContent$txtCode="&lt;code&gt;&lt;/code&gt;"). Description: Request Validation has detected a potentially dangerous ...
validateRequest="false"属性及xss攻击
weixin_33701294的博客
05-28 220
validateRequest="false"   指是否要IIS验证页面提交的非法字符,比如:&gt;,&lt;号等,当我们需要将一定格式得html代码获得,插入数据库时候,就要将这个属性设置为false,例如你将字体加粗等操作时。 这是ASP.Net提供的一个很重要的安全特性。因为很多程序员对安全没有概念,甚至都不知道XSS这种攻击的存在,知道主动去防护的就更少了。ASP.Net在 ...
$request->request
最新发布
07-09
`$request->request`通常是在PHP Laravel框架中的一个属性,它表示来自HTTP请求的"Request"部分。这个部分包含了客户端发送给服务器的数据,通常是通过POST、PUT等方法提交的表单数据或者JSON数据。你可以通过访问`request`对象获取这些数据,并对它们进行处理,比如验证、解析、存储等。 例如,如果你有一个用户注册表单,可以这样做: ```php $data = $request->request->all(); // 获取所有的键值对 $username = $request->request->input('username'); // 从请求中获取特定字段的值 // 验证用户名 if ($request->validate(['username' => 'required|unique:users'])) { // 处理注册逻辑... } ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值