解决“检测到有潜在危险的Request.Form值”

最新推荐文章于 2024-07-18 15:52:01 发布
最新推荐文章于 2024-07-18 15:52:01 发布
阅读量124 收藏 1
点赞数 1
文章标签: 测试
原文链接:http://www.cnblogs.com/sunzhenyong/p/4434362.html
版权

先看如下 web.config 的代码:

<system.web> 
    <compilation debug="true" targetFramework="4.0"/> 
    <httpRuntime requestValidationMode="2.0" /> 
    <pages validateRequest="false"></pages> 
</system.web>

validateRequest 这句我们知道是关闭验证,也就是说提交带标签,比如 <strong>粗体</strong> 这样的值时,ASP.NET 不会报错。

但在 4.0 中还多了一个 requestValidationMode,这是什么意思呢?

requestValidationMode 有两个值:

  • 2.0仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
  • 4.0 默认值。任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。

由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。

 

ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他紧紧应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。

上述原因引发的最终结果就是在ASP.NET4中会引发请求错误,例如检测到有潜在危险的Request.Form值等等,为了解决这个问题,可以通过将验证模式设置为ASP.NET之前的版本。具体步骤是在web.config中加入以下配置:

<httpRuntime requestValidationMode=”2.0″ />

设置了请求模式后,再设置

<system.web>
<pages validaterequest=”false”/>
</system.web>

 

MVC框架中,在控制方法前加入:

[ValidateInput(false)]属性。

转载于:https://www.cnblogs.com/sunzhenyong/p/4434362.html

alan9306
关注
PB12.6发布webservice-检测到有潜在危险Request.Form
居然是我的博客!!!!
05-26 1042
PB12.6发布webservice-检测到有潜在危险Request.Form System.Web.HttpRequestValidationException: 从客户端(as_request=&amp;quot;&amp;lt;busCode&amp;gt;1047&amp;lt;/busCo...&amp;quot;)中检测到有潜在危险Request.Form 。 在 Syst...
asp.net中“从客户端中检测到有潜在危险Request.Form”错误的解决办法
10-23
在***中,提交表单时系统可能会提示“从客户端中检测到有潜在危险Request.Form”的错误,这通常意味着***的请求验证特性检测到可能的跨站脚本攻击(XSS)。为了解决这个问题,我们需要理解***的请求验证机制,并...
从客户端中检测到有潜在危险Request.Form
weixin_34417200的博客
05-16 117
当asp.net提交&lt;&gt;这些字符到aspx页面时,如果未设置validaterequest="false",就会出现错误:从客户端(&lt;?xml version="...='UTF-8'?&gt;&lt;SOAP-ENV:Envelope S...")中检测到有潜在危险Request.Form 。1.在.aspx文件头中加入这句: &lt;%@ Page validate...
mvc从客户端中检测到有潜在危险Request.Form
最新发布
书中自有妍如玉的博客
07-18 998
3,如果你使用的是.Net 3.5,MVC 2.0及更高的版本,那么可以在处理Post方法的Action添加一个特性:[ValidateInput(false)],这样处理就更加有针对性,提高页面的安全性。原以为就像普通的Asp.net页面一样,在头部的Page中加入ValidateRequest="false"就行了,谁知问题还是存在。1,在出现该错误的页面头部的page中加入ValidateRequest="false",那么该页面的任何一次Post提交都不会再验证提交内容的安全性。
检测到有潜在危险Request.Form
weixin_30535843的博客
02-21 198
这种问题是因为你提交的Form中有HTML字符串,例如你在TextBox中输入了html标签,或者在页面中使用了HtmlEditor组件等,解决办法是禁用validateRequest。 如果你是.net 4.0或更高版本,一定要看方法3。 此方法在asp.net webForm和MVC中均适用 方法1: 在.aspx文件头中加入这句: <%@ Page validateReque...
从客户端中检测到有潜在危险Request.Form 错误解决方法
海雅 海的雅致
07-06 1万+
“/news”应用程序中的服务器错误。 从客户端(ftbContent=" 说明: 请求验证过程检测到有潜在危险的客户端输入,对请求的处理已经中止。该可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。 异常详细信息: System.Web
从客户端中检测到有潜在危险Request.Form 的详细解决方法
永恒の_☆
07-29 1万+
在 .NET MVC 的项目中有用到百度编辑器的富文本框,然后 提交表单到后台报错: 从客户端(Content="测试")中检测到有潜在危险Request.Form 。 一看就知道是传递的字符串中包含了html 标签,然后服务器检查出来了没有通过,所以需要来做处理。 网上有多例子说 在标签中加上validateRequest=“false”这个属性就好了,代码如下: 但
ASP.NET从客户端中检测到有潜在危险request.form的3种解决方法
10-24
在***应用开发中,经常会遇到客户端提交的数据中包含HTML代码或JavaScript代码,这种情况下,***默认会拦截此类请求并抛出一个错误提示:“从客户端中检测到有潜在危险request.form”。这样的安全措施是为了防止...
从客户端检测到有潜在危险Request.Form的asp.net代码
01-21
<configuration> <system> <pages validaterequest=”false”/> </system> </configuration> 2、在*.aspx文档头的page中加入validaterequest=”false”,示例如下: 代码如下:<%@ page validate
从客户端中检测到有潜在危险Request.Form
热门推荐
qq_35314780的博客
04-16 2万+
由于在asp.net中,Request提交时出现有html代码或javascript等字符串时,程序系统会认为其具有潜在危险。环境配置会报出“从客户端 中检测到有潜在危险Request.Form”这样的Error。 解决办法: 一、在asp.net webform中 1、当前提交页面,添加代码 打开当前.aspx页面,页头加上代码:validateRequest=”false”,如: &l...
检测到有潜在危险Request.Form 解决方法
杨斐的专栏
04-07 4677
Asp.net mvc3的“从客户端(content_v=\",\n\t  JS有时会还报出500的错误 实际应用:在提交有富文本编辑器(如CKEditor,UEditor)的页面时... 下面提供三种方法 1、在Controller调用的方法上添加[ValidateInput(false)] (MVC3的特性) [ValidateInput(false)] p
MVC:从客户端中检测到有潜在危险Request.Form 解决方法
JRSA2010的博客
07-08 117
1,在出现该错误的页面头部的page中加入ValidateRequest="false",那么该页面的任何一次Post提交都不会再验证提交内容的安全性。如: <%@PageTitle=""Language="C#"MasterPageFile="~/Views/Manage/ViewMasterPageEdit.Master"Inherits="System.W...
从客户端()中检测到有潜在危险Request.Form
DarkMoonSH的博客
11-26 323
请求报错 网上的方法有2种 一、validateRequest=“false” 二、requestValidationMode=“2.0” 以上方式均无效 MVC的controller自带验证,需要添加 [ValidateInput(false)] 以上几种方法方能解决
MVC中检测到有潜在危险Request.Form
MaQuanXin的博客
03-15 695
MVC中检测到有潜在危险Request.Form 在做mvc项目时,当使用xheditor、ueditor编辑器时,点击提交时,编辑器中的内容会带有html标签提交给服务器,这时就是会报错,出现如下内容: “/”应用程序中的服务器错误。 从客户端(Details=“高级abs高级abs高级a…”)中检测到有潜在危险Request.Form 。 这里可以在目标方法上加上忽略输出的属性,...
解决方法:从客户端(---<A href=“http://l...“)中检测到有潜在危险Request.Form
lanhai96的专栏
10-20 1682
原因是,在 ASP.NET 1.1 中,@Page 指令上的 ValidateRequest 属性被打开后,将检查以确定用户没有在查询字符串、Cookie 或表单域中发送有潜在危险性的 HTML 标记。解决方法:应该是不同的.net Framework版本对代码的校验不同,造成在高版本操作系统(即高.net Framework版本校验)不兼容,可以在网站IIS管理中更改应用程序池,一般是从.net Framework 4.0 改为.net Framework2.0.更改以上内容后,如果出现以下。
ASP.NET MVC4(Razor)从客户端中检测到有潜在危险Request.Form
小马过河
04-26 1118
说明: ASP.NET 在请求中检测到包含潜在危险的数据,因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试,如跨站点脚本攻击。如果此类型的输入适用于您的应用程序,则可包括明确允许的网页中的代码。   异常详细信息: System.Web.HttpRequestValidationException: 从客户端(Content="   sdfdddd ..."...
检测到有潜在危险Request.Form
bobWu 的 学习日记
04-20 837
控件中,如果使用了 freetextbox, 在提交时会出现 “检测到有潜在危险Request.Form ”错误。 解决办法: 修改标签,加上validateRequest="false" 在网上还搜到另一种解决办法,对内容进行html编码. 出问题的输入框 进行HTML编码 比如我用了txtNR 文本编辑器遇到了这样问题,后台在取txtNR时可以这样写Server.HtmlE
从客户端(InXml="<request><identity><...")中检测到有潜在危险Request.Form
01-20
根据提供的引用内容,无法直接回答你的问题。引用和引用提供了一些关于字段类型和动态字段的信息,但与从客户端检测潜在危险Request.Form无关。 要从客户端检测潜在危险Request.Form,你可以使用一些安全性工具和技术来帮助你识别和处理潜在的安全问题。以下是一些常见的方法: 1. 输入验证:对于从客户端接收到的所有输入数据,包括Request.Form,都应该进行验证。验证可以包括检查输入的长度、格式、类型和特殊字符等。你可以使用正则表达式或内置的验证函数来实现输入验证。 2. 输出编码:在将从Request.Form获取的输出到响应中时,确保对进行适当的编码,以防止跨站点脚本攻击(XSS)。常见的编码方法包括HTML编码和URL编码。 3. 防范SQL注入:如果你将Request.Form用于构建SQL查询,确保使用参数化查询或预编译语句来防止SQL注入攻击。不要直接将Request.Form拼接到SQL查询字符串中。 4. 防范跨站点请求伪造(CSRF):对于涉及敏感操作的请求,例如更改密码或删除数据,确保使用CSRF令牌来验证请求的合法性。CSRF令牌可以防止恶意网站利用用户的身份进行伪造请求。 5. 安全审计日志:记录所有与Request.Form相关的操作,包括输入验证失败、异常请求和安全事件。这些日志可以帮助你追踪和调查潜在的安全问题。 请注意,以上方法只是一些常见的安全措施,具体的实施方法可能因你使用的编程语言和框架而有所不同。建议你查阅相关的安全文档和指南,以了解更多关于保护Web应用程序安全的最佳实践。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值