从客户端检测到有潜在危险的Request.Form值时的处理办法

最新推荐文章于 2024-06-28 17:33:56 发布
最新推荐文章于 2024-06-28 17:33:56 发布
阅读量361 收藏
点赞数 1
分类专栏: 技术类 文章标签: asp.net javascript html object 脚本 exception

出现这个问题主要是由于在提交的对象中有含有HTMLJavaScript代码的字符,被浏览器认为是脚本攻击,拦截造成的。

原因:

ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。这是ASP.Net提供的一个很重要的安全特性。ASP.Net在这一点上做到默认安全。这样让对安全不是很了解的程序员依旧可以写出有一定安全防护能力的网站。

 针对这个问题大部分给出的解决办法是放弃默认安全设置。

  主要有两种解决办法:

   第一种:web.config文档<system.web>后面加入这一句: <pages validaterequest="false"/>

示例:
<?XML version="1.0" encoding="gb2312" ?>
<configuration>
<system.web>
<pages validaterequest="false"/>
</system.web>
</configuration>

第二种:在*.aspx文档头的page中加入validaterequest="false",示例如下:
<%@ page validaterequest="false" language="c#" codebehind="index.aspx.cs" autoeventwireup="false" inherits="mybbs.webform1" %>

这两种方法虽然能从表面上解决报错的问题,但是却带来了极大的安全风险,不推荐使用。

一类比较正确的人性化的解决办法是捕获这类错误,给出合理有好的错误提示信息。方法可参考如下:

     在当前页面添加Page_Error()函数,来捕获所有页面处理过程中发生的而没有处理的异常。然后给用户一个合法的报错信息。如果当前页面没有Page_Error(),这个异常将会送到Global.asax的Application_Error()来处理,也可以在那里写通用的异常报错处理函数。如果两个地方都没有写异常处理函数,才会显示这个默认的报错页面呢。

  举例而言,处理这个异常其实只需要很简短的一小段代码就够了。在页面的Code-behind页面中加入这么一段代码:

 
 

  
  protected
  
   
  
  void
  
   Page_Error(
  
  object
  
   sender, EventArgs e)
{
    Exception ex 
  
  =
  
   Server.GetLastError();
    
  
  if
  
   (HttpContext.Current.Server.GetLastError() 
  
  is
  
   HttpRequestValidationException)
    {
        HttpContext.Current.Response.Write(
  
  "
  
  请输入合法的字符串【<a href=\"Javascript:history.back(0);\">返回</a>】
  
  "
  
  );
        HttpContext.Current.Server.ClearError();
    }
}

  这样这个程序就可以截获 HttpRequestValidationException 异常,而且可以按照程序员的意愿返回一个合理的报错信息。如果只是需要异常处理,那么请用类似于上面的代码来处理即可。

  而对于那些通过 明确禁止了这个特性的程序员,自己一定要明白自己在做什么,而且一定要自己手动的检查必须过滤的字符串,否则你的站点很容易引发跨站脚本攻击。

微软给出的关于存在Rich Text Editor的页面应该如何处理?

  如果页面有富文本编辑器的控件的,那么必然会导致有类的HTML标签提交回来。在这种情况下,我们不得不将validateRequest="false"。那么安全性怎么处理?

  根据微软的建议,我们应该采取安全上称为“默认禁止,显式允许”的策略。

  首先,我们将输入字符串用 HttpUtility.HtmlEncode()来编码,将其中的HTML标签彻底禁止。

  然后,我们再对我们所感兴趣的、并且是安全标签,通过Replace()进行替换。比如,我们希望有""标签,那么我们就将""显式的替换回""。

 
 

  
  void
  
   submitBtn_Click(
  
  object
  
   sender, EventArgs e) 
{ 
    
  
  //
  
  将输入字符串编码,这样所有的HTML标签都失效了。 
  
  

  
      StringBuilder sb 
  
  =
  
   
  
  new
  
   StringBuilder(HttpUtility.HtmlEncode(htmlInputTxt.Text)); 
    
  
  //
  
  然后我们选择性的允许<b> 和 <i> 
  
  

  
      sb.Replace(
  
  "
  
  &lt;b&gt;
  
  "
  
  , 
  
  "
  
  <b>
  
  "
  
  ); 
    sb.Replace(
  
  "
  
  &lt;/b&gt;
  
  "
  
  , 
  
  "
  
  </b>
  
  "
  
  ); 
    sb.Replace(
  
  "
  
  &lt;i&gt;
  
  "
  
  , 
  
  "
  
  <i>
  
  "
  
  ); 
    sb.Replace(
  
  "
  
  &lt;/i&gt;
  
  "
  
  , 
  
  "
  
  </i>
  
  "
  
  ); 
    Response.Write(sb.ToString()); 
}

这样我们即允许了部分HTML标签,又禁止了危险的标签。

根据微软提供的建议,我们要慎重允许下列HTML标签,因为这些HTML标签都是有可能导致跨站脚本攻击的。

<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>

可能这里最让人不能理解的是<img>。但是,看过下列代码后,就应该明白其危险性了。
<img src="javascript:alert('hello');">

deng_520
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
客户端检测到有潜在危险Request.Form
lxy_abcde1190的专栏
05-04 772
asp.net开发,经常遇到“从客户端检测到有潜在危险Request.Form 值”错误提示,很多人给出的解决方案是:1、web.config文档后面加入这一句: 示例: 2、在*.aspx文档头的page加入validaterequest="false",示例如下:  其实这样做是不正确的,会给程序安全带来风险。  ASP.Net 1.1后引入了对提交表单
springboot过滤器form表单和body(json)形式的进参拦截修改里面参数内容(重写HttpServletRequestWrapper里边的方法)
weixin_41677422的博客
09-24 5077
springboot过滤器form表单和body(json)形式的进参拦截修改里面参数内容(重写HttpServletRequestWrapper里边的方法) 一、实现思路 1.进参分为form表单和body形式的json,两种形式分开处理 2.通过包装request,实际调用的是包装之后的request对象 二、代码实现 项目目录: 1.主类DemoApplication package com.demo; import org.spring...
如何使网站不出现从客户端(:)检测到有潜在危险Request.Path 值这样类似的提示
sxf359的博客
11-08 4万+
从.net4.0开始,微软加入了对特殊字符的限制。默认的是7个特殊字符:requestPathInvalidCharacters = “<,>,*,%,&,:,\” 一旦有这7个特殊字符,则asp.net直接报有潜在危险Request.Path,Request.Form,Request.QueryString等这样的错误 这是为什么出现的原因,可以在web.config去除掉要限制的特殊字符
客户端检测到有潜在危险Request.Form 值(转)
weixin_30838921的博客
07-03 131
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: 以下是引用片段:Server Error in '/YourApplicationPath' Application A poten...
错误提示 从客户端(Content="<br>测试")检测到有潜在危险Request.Form 值。
Jacky的专栏
05-07 2275
在接收的方法上面加上[ValidateInput(false)],还需要在web.config的system.web节点里面加上
asp.net“从客户端检测到有潜在危险Request.Form值”错误的解决办法
10-23
主要介绍了asp.net“从客户端检测到有潜在危险Request.Form值”错误的解决办法,需要的朋友可以参考下
ASP.NET客户端检测到有潜在危险request.form值的3种解决方法
10-24
主要介绍了ASP.NET客户端检测到有潜在危险request.form值的3种解决方法,这是ASP.NET开发一个比较常见的经典的问题,需要的朋友可以参考下
客户端检测到有潜在危险Request.Form值的asp.net代码
10-30
asp.net开发,经常遇到“从客户端检测到有潜在危险Request.Form 值”错误提示,很多人给出的解决方案是
最近页面请求(request)时 用javascript等字符串出现客户端检测到有潜在危险Request.Form 值...
a585303936的博客
06-12 146
客户端检测到有潜在危险Request.Form 值。原因及其解决方法收藏从客户端检测到有潜在危险Request.Form 值。原因及其解决方法原因:页面请求(request)时,含有htmljavascript等字符串时。ASP.NET会认为是危险的值,就会抛出辞异常。当页面上使用了所见即所得编辑器(例如使用了fckeditor或FreeTextBox控件等)的时候会发生此异常。...
如何避免 有潜在危险Request.Form
jQuery,CSS,Asp.net及前端开放问题汇总
11-15 815
个人感觉在 .net framework 4.0 最好的解决“ 有潜在危险Request.Form 值”  这个问题的方法是 在 system.web 加上 这句话 因为4.0的验证在HTTP的BeginRequest前启用
客户端检测到有潜在危险Request.Form
weixin_34417200的博客
05-16 109
asp.net提交&lt;&gt;这些字符到aspx页面时,如果未设置validaterequest="false",就会出现错误:从客户端(&lt;?xml version="...='UTF-8'?&gt;&lt;SOAP-ENV:Envelope S...")检测到有潜在危险Request.Form 值。1.在.aspx文件头加入这句: &lt;%@ Page validate...
客户端(&)检测到有潜在危险Request.Path 值解决方案
热门推荐
05-10 11万+
出这个问题基本上是在转址字符串有非法字符“   方案1:   如果仅仅只是转换页面,传参时出现的问题,可对数据加密: 绑定数据传值时加密 解密:HttpUtility.UrlDecode(request.QueryString["userid"].Tostrin   方案2:   如果是对数据库数据进行操作时出现此问题,第一、可以在存入数据库之前加入字符过滤功能(具体实现方
解决asp.net检测到有潜在危险问题
wjm371002515的专栏
11-24 5979
asp.net开发,经常遇到“从客户端检测到有潜在危险Request.Form 值”错误提示,很多人给出的解决方案是: 1、web.config文档后面加入这一句:   示例:            2、在*.aspx文档头的page加入validaterequest="false",示例如下:  c#" codebehind="index.aspx.cs" a
ASP.NET 使用web.config配置文件的system.webServer/modules标签实现登录验证
最新发布
chance_66的博客
06-28 175
注意:以下内容为部分配置,不是整个web.config的配置 2、配置读取类 3、登录校验类
JavaScript检查对象是否包含某个属性
徐三岁的博客
06-28 668
当使用 Object.prototype.hasOwnProperty.call 时,实际上是在调用 hasOwnProperty 方法,并明确指定 this 的值,这使得可以检查任何对象是否拥有指定的属性。使用 Object.prototype.hasOwnProperty.call 的好处是,它允许将 hasOwnProperty 方法作为一个函数传递给其他函数,或者在不直接引用对象的情况下使用它。hasOwnProperty 方法会检查对象自身是否具有指定的属性,而不考虑原型链。
jQuery 选择前、后、父元素进行操作
qq_30049249的博客
06-25 550
https://andi.cn/page/621465.html
JavaWeb系列二十: jQuery的DOM操作 下
你好, 我在学java的博客
06-24 453
jQuery的DOM操作CSS-DOM操作多选框案例页面加载完毕触发方法作业布置jQuery获取选复选框的值jQuery控制checkbox被选jQuery控制(全选/全不选/反选)jQuery动态添加删除用户 CSS-DOM操作 获取和设置元素的样式属性: css() 获取和设置元素透明度: opacity属性 获取和设置元素高度, 宽度: height(), width(). 在设置值时, 若只传递数字, 则默认单位是px; 如需要使用其它单位则需传递一个字符串, 例如 $(“p:first”)
Nuxt 应用的三种运行模式(五)
qq_35876316的博客
06-26 513
SPA 模式是最常见的 Web 应用模式,整个应用在加载完成后,用户的操作不会引发页面跳转,而是通过 JavaScript 动态更新页面内容。
客户端(InXml="<request><identity><...")检测到有潜在危险Request.Form
01-20
要从客户端检测潜在危险Request.Form值,你可以使用一些安全性工具和技术来帮助你识别和处理潜在的安全问题。以下是一些常见的方法: 1. 输入验证:对于从客户端接收到的所有输入数据,包括Request.Form值,都...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值