在ASP中客户端请求服务时会出现"从客户端中检测到有潜在危险的 Request.Form或Requst.QueryString的值。",原因是在web.config配置文件中存在这样一句话(VS中默认存在的)<httpRuntime requestValidationMode="4.0" />,在ASP.NET 4.0中,请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前,这也就意味着所有进入ASP.NET请求通道的所有的HTTP请求都将会被进行请求内容合法性的验证,包括有的自定义HttpHandler,WebService请求,甚至于利用自定义Http Module进行自定义请求处理程序,因为这样做后,验证器无法得到请求的页面是否禁用了验证请求,因为还没有实例化HttpHandler。并且在ASP.NET4.0中,并没有提供给我一个地方去禁用这个验证功能。他的作用就是防止客户端危险程序进入服务器包括html,js以及cookie的值,这是Framework4.0以及以后的版本所具有的,他表示开启所有客户端验证,而且还无法关闭,强制性的。想要禁用这个功能,就需要把他改为2.0的版本,它支持手动启动或关闭。
在webForm应用程序中:解决上述办法有两种:
第一种、只要操在 Page 指令或 <pages> 配置节中设置 validateRequest="false" 禁用请求验证。但他对网站是一种不负责任的做法,会给你的网站带来很多风险,一般不建议这样使用;
第二种、对于需要禁止验证的页面添加这样一句话<%@ Page ValidateRequest="false"%>只针对个别有需求的页面进行禁止验证,减少了一定的风险。
在ASP.NET MVC中只要在客户端访问对应的控制器的方法前加入ValidateInput特性并为其赋值为false即可:
eg:
[ValidateInput(false)]
public ActionResult Add(string name)
{
return View();
}
误区分析:如果把配置WebForm的禁用方法放到MVC肯定是不行的,在这里你一定要分析清楚(PS:网上好多介绍都是浅谈,基本上都不写适用范围)
1848
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
