.net的ValidateRequest 属性

最新推荐文章于 2019-07-25 07:41:13 发布
最新推荐文章于 2019-07-25 07:41:13 发布
阅读量400 收藏
点赞数
分类专栏: web安全

ValidateRequest 属性

转载  2009年10月17日 12:44:00

                在 ASP.NET 1.1 中,@Page 指令上的 ValidateRequest 属性被打开后,将检查以确定用户没有在查询字符串、Cookie 或表单域中发送有潜在危险性的 HTML 标记。如果检测到这种情况,将引发异常并中止该请求。该属性默认情况下是打开的;您无需进行任何操作就可以得到保护。如果您想允许 HTML 标记通过,必须主动禁用该属性。
  <%@ Page ValidateRequest="false" %>
ValidateRequest不是 万能的药方,无法替代有效的验证层。

  没有任何关闭 ValidateRequest 的理由。您可以禁用它,但必须有非常好的理由;其中一条这样的理由可能是用户需要能够将某些 HTML 张贴到站点,以便得到更好的格式设置选项。这种情况下,您应当限制所允许的 HTML 标记(<pre>、<b>、<i>、<p>、<br>、<hr>)的数目,并编写一个正则表达式,以确保不会允许或接受任何其他内容。

以下是一些有助于防止 ASP.NET 遭受 XSS 攻击的其他提示:

? 使用 HttpUtility.HtmlEncode 将危险的符号转换为它们的 HTML 表示形式。 
 
? 使用双引号而不是单引号,这是因为 HTML 编码仅转义双引号。 
 
? 强制一个代码页以限制可以使用的字符数。 
 


总之,使用但是不要完全信任 ValidateRequest 属性,不要太过懒惰。花些时间,从根本上理解 XSS 这样的安全威胁,并规划以一个关键点为中心的防御策略:所有的用户输入都是危险的。

 

自我总结语:

 

通常用于:当发布公告等信息时,加入了第三方编辑器的情况之下,提交数据时,一定要禁止该属性<%@ Page ValidateRequest="false" %>
如果在1.0版本中webconfig不支持该代码,则应针对每个页面进行设置.

你只需要在那一页的HTML设计模式下把validateRequest="false"添加到Page命令中即可,例如:   
  <%@   Page   language="c#"   Codebehind="RoleDepart.aspx.cs"   AutoEventWireup="false"   Inherits="roleManage.RoleDepart"   validateRequest="false"%>

javaPie
关注
专栏目录
ASP.NET检测到不安全 Request.Form 值解决方案汇总
10-24
最简单的情况是在使用富文本编辑器的页面顶部Page指令中设置ValidateRequest="false"。这样做可以让***忽略对当前页面输入内容的验证。但是,这种方法可能会带来安全风险,因为它降低了服务器的安全性,使得潜在的跨...
ASP.NET从客户端中检测到有潜在危险的request.form值的3种解决方法
10-24
在***页面的头部,可以通过设置Page指令中的ValidateRequest属性为"false",来禁止页面级别的输入验证。这样,该页面提交的数据就不会被验证。示例代码如下: ```asp <%@Page Language="C#" ValidateRequest="false...
ValidateRequest 属性
Steven的专栏
10-17 3955
                在 ASP.NET 1.1 中,@Page 指令上的 ValidateRequest 属性被打开后,将检查以确定用户没有在查询字符串、Cookie 或表单域中发送有潜在危险性的 HTML 标记。如果检测到这种情况,将引发异常并中止该请求。该属性默认情况下是打开的;您无需进行任何操作就可以得到保护。如果您想允许 HTML 标记通过,必须主动禁用该属性。  Valida
ASP.net中的validaterequest
weixin_34314962的博客
11-21 203
这个属性是用来验证客户端用户的输入的,用来验证用户的输入中是否有危险字符的,这个属性的默认值为true,微软之所以这么做是为了提高asp.net程序的安全性,所以很多程序员即使不知道怎么来防御黑客的攻击,asp.net的一些默认属性等内容已经对安全进行了控制,这也是为什么asp.net的程序相对来说比较安全的原因!  既然这个属性的默认值为true,而且asp.net页面的回发又很频繁,那么如果没...
ValidateRequest
pmandy的专栏
11-15 141
指示是否应发生请求验证。如果为true,请求验证将根据具有潜在危险的值的硬编码列表检查所有输入数据。默认值为 true。 如果希望用户输入HTML代码,请设置为false 。 注意:在ASP.NET 2.0中不验证ashx请求,但是ASP.NET 4.0默认会验证, 如果希望在4.0中兼容2.0的行为,请在web.config中配置 ...
请慎用ASP.NetvalidateRequest="false"
郑成的博客
06-25 504
      ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: 以下是引用片段:Server Error in /Your
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证
WebMatersl的专栏
05-01 5572
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证 说明:   请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在   Page   指令或   配置节中设置   validateRequest=false   可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检
asp.net中“从客户端中检测到有潜在危险的Request.Form值”错误的解决办法
10-23
1. 可以通过在页面指令中设置ValidateRequest属性为“false”来关闭请求验证。这需要在.aspx文件的页面指令中添加validateRequest="false"。 示例: `...
从客户端检测到有潜在危险的Request.Form值的asp.net代码
10-30
类似地,在ASPX页面的Page指令中,也可以设置validateRequest属性为"false",即<%@ Page validateRequest="false" %>。这两种方式虽然简单,却可能使应用程序面临XSS攻击的风险。因此,在大多数情况下,并不推荐禁用...
asp.net 从客户端中检测到有潜在危险的 Request.Form 值错误解
10-29
在.aspx页面的指令部分中,可以通过设置validateRequest属性为“false”来禁用请求验证。例如: ```asp <%@ Page validateRequest="false" language="c#" Codebehind="WriteNews.aspx.cs" AutoEventWireup="false" ...
请慎用ASP.NetvalidateRequest="false"属性
weixin_33686714的博客
05-16 181
阅读全文下载代码:http://www.cckan.net/forum.php?mod=viewthread&amp;tid=74 在客户端的文体框里输入“&lt;任何字符&gt;例如&lt;user&gt;”等字符的时候为出现这样的错误 序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,...
validateRequest
lavly的专栏
08-13 579
ASP.NET 默认会自动验证客户端提交的值,这是为了安全,但一方面也带来了麻烦,比如我们在客户端界面输入:,就会产生异常,这显然妨碍了我们的程序工作,参照 .NET Framework 2.0 原话进行解决:从客户端(tb="")中检测到有潜在危险的 Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝
ASP.NET 页面中的 ValidateRequest属性
陈希章@中国
02-28 1385
ValidateRequest 指示是否应发生请求验证。如果为 true,请求验证将根据具有潜在危险的值的硬编码列表检查所有输入数据。如果出现匹配情况,将引发 HttpRequestValidationException 异常。默认值为 true。 该功能在计算机配置文件 (Machine.config) 中启用。可以在应用程序配置文件 (Web.config) 中或在页上将该属性设置为 false 来禁用该功能。 注意: 该功能有助于减少对简单页或 ASP.NET 应用程序进行跨站点脚本攻击的
关于ASP.NetvalidateRequest=false(验证请求)
wqhtiger的专栏
02-05 762
ASP.NetvalidateRequest=false       validateRequest="false"   指是否要IIS验证页面提交的非法字符,比如:>,    ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpReques
关于.netValidateRequest=false失效
weixin_30399821的博客
07-25 140
ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest="false"。或者在MVC中,我们可以通过在Controller或者Action上设置[V...
ValidateRequest=false 不在.net2.0 中该怎么办?
aolian0059的博客
04-22 133
ValidateRequest=false 不在.net2.0 中该怎么办? ASP.NET请求验证功能可以给我提供应用程序的保存,避免站点受到XSS的攻击。 但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config system.web 节点中设置validateR...
ASP.NET 4.0验证请求(更新)<-加入Google Wave一起讨论!
weixin_33713707的博客
10-31 120
A potentially dangerous Request.Form value was detected from the client (ctl00$MainContent$txtCode="&lt;code&gt;&lt;/code&gt;"). Description: Request Validation has detected a potentially dangerous ...
validateRequest="false"属性及xss攻击
weixin_33701294的博客
05-28 231
validateRequest="false"   指是否要IIS验证页面提交的非法字符,比如:&gt;,&lt;号等,当我们需要将一定格式得html代码获得,插入数据库时候,就要将这个属性设置为false,例如你将字体加粗等操作时。 这是ASP.Net提供的一个很重要的安全特性。因为很多程序员对安全没有概念,甚至都不知道XSS这种攻击的存在,知道主动去防护的就更少了。ASP.Net在 ...
给这个方法添加单元测试: public List<MessageDetails> processTrade(CisTStpTradeData tradeData) throws CisTStpException { List<T> viewList = getTradeData(tradeData.getTradeId()); log.info("Size of Object fetched for CIS Trade id {} is {} ", tradeData.getTradeId(), viewList.size()); if(!validateRequest(viewList)){ log.info("Not a valid data to process...."); return null; } Map<String, List<T>> viewAsMap = getViewAsMap(viewList); List<MessageDetails> msgDetailsListAllLegs = new ArrayList<>(); /Process REPO Leg first/ CisRefScbmlEvents reUseRefEvent = null; if(viewAsMap != null && viewAsMap.size() > 0 && viewAsMap.containsKey(TradeLegs.REPO_LEG.getValue())){ log.info("REPO Leg identified in the package"); Map<String, List<T>> repoViewAsMap = viewAsMap.entrySet().stream().filter(p -> p.getKey().equals(TradeLegs.REPO_LEG.getValue())).collect(Collectors.toMap(x -> x.getKey(), x -> x.getValue())); processAllMsgDetail(repoViewAsMap, tradeData, msgDetailsListAllLegs, null); log.info("Event will be reused for other LEGS in package"); if(msgDetailsListAllLegs != null && msgDetailsListAllLegs.size() > 0 && msgDetailsListAllLegs.get(0).getEventDetails() != null){ reUseRefEvent = msgDetailsListAllLegs.get(0).getEventDetails().getRefEvent(); log.info("REPO Event to be reused for other legs is : {} ", reUseRefEvent); } log.info("REPO Leg processed and removed from Map"); viewAsMap.remove(TradeLegs.REPO_LEG.getValue()); } /*Process SCF leg */ if(viewAsMap != null && viewAsMap.size() > 0 && viewAsMap.containsKey(TradeLegs.SCF_LEG.getValue())){ log.info("SCF Leg identified in the package"); Map<String, List<T>> repoViewAsMap = viewAsMap.entrySet().stream().filter(p -> p.getKey().equals(TradeLegs.SCF_LEG.getValue())).collect(Collectors.toMap(x -> x.getKey(), x -> x.getValue())); processAllMsgDetail(repoViewAsMap, tradeData, msgDetailsListAllLegs, null); log.info("SCF Leg processed and removed from Map"); viewAsMap.remove(TradeLegs.SCF_LEG.getValue()); } /Process NON REPO and other CIS and SIP Legs After it. This is done to reuse the Event identified for REPO above for same package/ processAllMsgDetail(viewAsMap, tradeData, msgDetailsListAllLegs, reUseRefEvent); return msgDetailsListAllLegs; }
最新发布
06-07
Here is an example of a JUnit test for the given method: ``` import org.junit.Test; import static org.junit.Assert.*; public class TradeProcessorTest { @Test public void testProcessTrade() throws CisTStpException { // Create a mock CisTStpTradeData object CisTStpTradeData tradeData = new CisTStpTradeData(); tradeData.setTradeId("123"); // Create a mock list of trade data objects List<T> viewList = new ArrayList<T>(); viewList.add(new TradeDataObject()); // Create a mock TradeProcessor object TradeProcessor tradeProcessor = new TradeProcessor(); // Call the method under test List<MessageDetails> result = tradeProcessor.processTrade(tradeData); // Verify that the result is not null assertNotNull(result); // Verify that the result is of the expected size assertEquals(1, result.size()); } } ``` This test creates a mock `CisTStpTradeData` object and a mock list of trade data objects, and then calls the `processTrade` method on a mock `TradeProcessor` object. It then verifies that the result is not null and is of the expected size. You can add more test cases to cover different scenarios and edge cases.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值