单点登录 CAS 导致 asp.net mvc 的“从客户端中检测到有潜在危险的Request.Form值”错误

最新推荐文章于 2024-07-18 15:52:01 发布
最新推荐文章于 2024-07-18 15:52:01 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: .NET ASP.NET MVC Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/leftfist/article/details/82898315
版权
.NET 同时被 3 个专栏收录
294 篇文章 3 订阅
订阅专栏
Web
159 篇文章 3 订阅
订阅专栏
ASP.NET MVC
18 篇文章 0 订阅
订阅专栏

我强调一下:在asp.net mvc中,如果遇到表单提交时,报“从客户端中检测到有潜在危险的Request.Form值”这种错误,

方法一:
就在action头部加上 [ValidateInput(false)] 特性,这就足够了,而且绝对可行。不要信网上什么修改配置文件,还要将运行时改为2.0,都快5.0了,你还2.0,扯。

但这不是最好的办法,因为同一表单,往往有多个字段。我认为比较好的方式是,

方法二:
提交的时候,用实体类参数代替FormCollection参数,实体类里需要用到html标记的属性,加上[AllowHtml]特性。

    public class MailVM
    {
        public string Title { get; set; }
        public string Time { get; set; }
        [AllowHtml]
        public string Mess { get; set; }
    }

参考文章:
ASP.NET MVC 页面使用富文本控件的XSS漏洞问题

如果上面2种方法都不行,怎么办?
这是不可能的。如果真出现了这种情况,就检查下你是否用到了一些额外的Handler或module,比如我今天就发现,因为项目使用了CAS作为单点登录,客户端 DotNetCasClient.dll会率先对所有的请求进行拦截,我们定义在action上的特性之类根本还没机会运行到就报错了。

    <modules>
      <remove name="DotNetCasClient"/>
      <add name="DotNetCasClient" type="DotNetCasClient.CasAuthenticationModule,DotNetCasClient"/>
    </modules>

这时就要对官网给的DotNetCasClient稍作修改。没关系,官网有源代码,直接下载下来修改。
原代码为

        internal static bool GetRequestIsCasSingleSignOut()
        {
            CasAuthentication.Initialize();

            HttpContext context = HttpContext.Current;
            HttpRequest request = context.Request;

            bool requestIsFormPost = (request.RequestType == "POST");
            //请注意这一行
            bool haveLogoutRequest = !string.IsNullOrEmpty(request.Params["logoutRequest"]);

            bool result =
            (
                requestIsFormPost &&
                haveLogoutRequest
            );

            return result;
        }

CAS客户端并没有刻意去拦截什么危险性内容,但request.Params["logoutRequest"]这个读取动作会自然触发异常。知道原因就好改了。

可以改为

        internal static bool GetRequestIsCasSingleSignOut()
        {
            CasAuthentication.Initialize();

            HttpContext context = HttpContext.Current;
            HttpRequest request = context.Request;

            bool requestIsFormPost = (request.RequestType == "POST");

            //by chenqu
            bool haveLogoutRequest = false;
            if(requestIsFormPost)
            {
                try
                {
                    haveLogoutRequest = !string.IsNullOrEmpty(request.Params["logoutRequest"]);
                }
                catch(System.Web.HttpRequestValidationException ex)
                {
                    haveLogoutRequest = false;
                }
                catch(Exception ex)
                {
                    throw ex;
                }
            }

            bool result =
            (
                requestIsFormPost &&
                haveLogoutRequest
            );

            return result;
        }

改完,编译成新的DotNetCasClient.dll,替换项目中的就OK了。尼玛再也不用担心你提交了啥危险内容了。其实,所谓XSS跨域攻击,提交的内容到了服务器,这时还不会有啥问题的,只有你将提交的内容又展示在页面上才会发生攻击,因为只不过是些HTML标记罢了,只有在浏览器才能被解释运行。

左直拳
关注
专栏目录
通俗易懂,什么是.NET?什么是.NET Framework?什么是.NET Core? .Net Web开发技术栈...
07-02 2056
通俗易懂,什么是.NET?什么是.NET Framework?什么是.NET Core? 什么是.NET?什么是.NET Framework?本文将从上往下,循序渐进的介绍一系列相关.NET的概念,先从类型系统开始讲起,我将通过跨语言操作这个例子来逐渐引入一系列.NET的相关概念,这主要包括:CLS、CTS(CLI)、FCL、Windows下CLR的相关核心组成、Wind...
Visual Studio 2008 and .NET Framework 3.5 Service Pack 1 Beta - ScottGu
06-12 1231
导读:   ScottGus Blog   Scott Guthrie lives in Seattle and builds a few products for Microsoft   Visual Studio 2008 and .NET Framework 3.5 Service Pack 1 Beta   Earlier today we shipped a public be
ASP.NET客户端检测到有潜在危险request.form的3种解决方法
01-02
当页面编辑或运行提交时,出现“从客户端检测到有潜在危险request.form”问题,该怎么办呢?如下图所示: 下面博主汇总出现这种错误的几种解决方法: 问题原因:由于在asp.netRequest提交时出现有html代码或javascript等字符串时,程序系统会认为其具有潜在危险。环境配置会报出“从客户端 检测到有潜在危险Request.Form”这样的Error。 1、当前提交页面,添加代码 打开当前.aspx页面,页头加上代码:validateRequest=”false”,如: 代码如下: <%@ Page Language=”C#” ValidateRequ
检测到有潜在危险Request.Form
weixin_30535843的博客
02-21 196
这种问题是因为你提交的Form有HTML字符串,例如你在TextBox输入了html标签,或者在页面使用了HtmlEditor组件等,解决办法是禁用validateRequest。 如果你是.net 4.0或更高版本,一定要看方法3。 此方法在asp.net webFormMVC均适用 方法1: 在.aspx文件头加入这句: <%@ Page validateReque...
mvc客户端检测到有潜在危险Request.Form
最新发布
书中自有妍如玉的博客
07-18 972
3,如果你使用的是.Net 3.5,MVC 2.0及更高的版本,那么可以在处理Post方法的Action添加一个特性:[ValidateInput(false)],这样处理就更加有针对性,提高页面的安全性。原以为就像普通的Asp.net页面一样,在头部的Page加入ValidateRequest="false"就行了,谁知问题还是存在。1,在出现该错误的页面头部的page加入ValidateRequest="false",那么该页面的任何一次Post提交都不会再验证提交内容的安全性。
MVC提示错误:从客户端检测到有潜在危险Request.Form 的详细解决方法...
weixin_34378045的博客
07-10 388
今天往MVC加入了一个富文本编辑框,在提交信息的时候报了如下的错误:从客户端(Content="&lt;EM &gt;&lt;STRONG &gt;&lt;U &gt;这是测试这...")检测到有潜在危险Request.Form 。说明: 请求验证过程检测到有潜在危险客户端输入,对请求的处理已经止。该可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求...
客户端检测到有潜在危险Request.Form
热门推荐
qq_35314780的博客
04-16 2万+
由于在asp.netRequest提交时出现有html代码或javascript等字符串时,程序系统会认为其具有潜在危险。环境配置会报出“从客户端 检测到有潜在危险Request.Form”这样的Error。 解决办法: 一、在asp.net webform 1、当前提交页面,添加代码 打开当前.aspx页面,页头加上代码:validateRequest=”false”,如: &l...
Asp.Net Mvc框架下的FckEdit控件 从客户端检测到有潜在危险Request.Form
04-03 147
Asp.Net Mvc框架下的FckEdit控件 从客户端检测到有潜在危险Request.Form  演示用例下载:http://files.cnblogs.com/esshs/McvTest.rar 从客户端(FckTextBox="&lt;p&gt;&amp;nbsp;&lt;/p&gt; &lt;div ...")检测到有潜在危险的 ...
CAS 单点登录安装笔记4 -- asp.net client端的设置
03-06
在这个"CAS单点登录安装笔记4 -- asp.net client端的设置",我们将深入探讨如何将ASP.NET应用程序配置为使用CAS服务器进行身份验证。 首先,要使ASP.NET客户端CAS服务器协同工作,我们需要在客户端应用程序...
webmagic采集CSDN的Java_WebDevelop页面
hepanlaurence的专栏
05-23 1万+
使用webmagic采集博客类的网站示例
Java 开发校招面试考点汇总 三(Java web、JDBC、计算机网络部分)
热心网友
03-27 1万+
三、Java web编程 ❤1、web编程基础 1、启动项目时如何实现不在链接里输入项目名就能启动? 2、1分钟之内只能处理1000个请求,你怎么实现,手撕代码? 3、什么时候用assert 4、JAVA应用服务器有那些? 5、JSP的内置对象及方法。 6、JSP和Servlet有哪些相同点和不同点,他们之间的联系是什么?(JSP) 7、说一说四种会话跟踪技术 8、讲讲Request对象的主要方法...
asp.net客户端检测到有潜在危险Request.Form
qq_43062962的博客
11-26 488
asp.net客户端检测到有潜在危险Request.Form 今天开发的时候碰到了这个问题。以前也碰到过但是一直没有总结一下,所以每次碰到都上网找一下资料。 今天把这个问题解决方法记录下来。跟大家分享一下。 解决方法: &amp;lt;%@ Page ValidateRequest=“false” Language=“C#” AutoEventWireup=“true” CodeBehind=“...
Asp.net客户端检测到有潜在危险Request.Form
05-18 97
解决方法: 在Web.config文件里找到<httpRuntime>节点,然后修改requestValidationMode="2.0" 修改结果如下: <system.web> <httpRuntime targetFramework="4.5" requestValidationMode="2.0"/> &l...
客户端检测到有潜在危险Request.Form 的详细解决方法
永恒の_☆
07-29 1万+
在 .NET MVC 的项目有用到百度编辑器的富文本框,然后 提交表单到后台报错: 从客户端(Content="测试")检测到有潜在危险Request.Form 。 一看就知道是传递的字符串包含了html 标签,然后服务器检查出来了没有通过,所以需要来做处理。 网上有多例子说 在标签加上validateRequest=“false”这个属性就好了,代码如下: 但
客户端检测到有潜在危险request.form
weixin_34378045的博客
11-09 263
原因: 由于在asp.netRequest提交时出现有html代码或javascript等字符串时,程序系统会认为其具有潜在危险。环境配置会报出“从客户端 检测到有潜在危险Request.Form”这样的Error。 解决方法: 方法1:禁用validateRequest 在.aspx文件头加入这句: <%@Page...
MVC客户端检测到有潜在危险Request.Form
Lie.CR的博客
02-14 537
错误:从客户端(content="&lt;p&gt;asdfaqdf ad&lt;/p&gt;")检测到有潜在危险Request.Form 。1.httpRuntime 节点添加requestValidationMode="2.0" 修改web.config&lt;system.web&gt;    ...    &lt;httpRuntime requestValidationMode=...
MVC:从客户端检测到有潜在危险Request.Form 的解决方法
JRSA2010的博客
07-08 114
1,在出现该错误的页面头部的page加入ValidateRequest="false",那么该页面的任何一次Post提交都不会再验证提交内容的安全性。如: <%@PageTitle=""Language="C#"MasterPageFile="~/Views/Manage/ViewMasterPageEdit.Master"Inherits="System.W...
客户端检测到有潜在危险Request.Form 错误解决方法
海雅 海的雅致
07-06 1万+
“/news”应用程序的服务器错误。 从客户端(ftbContent=" 说明: 请求验证过程检测到有潜在危险客户端输入,对请求的处理已经止。该可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。 异常详细信息: System.Web
客户端检测到有潜在危险Request.Form
weixin_30349597的博客
07-10 101
asp.net开发,经常遇到“从客户端检测到有潜在危险Request.Form 错误提示,很多人给出的解决方案是: 1、web.config文档<system.web>后面加入这一句: <pages validaterequest="false"/> 示例: <?xml version="1.0" encoding="gb2312" ?> ...
单点登录CAS配置全攻略:从服务器到客户端
"这篇文档详细介绍了如何配置单点登录系统CAS (Central Authentication Service),包括服务器端和客户端的步骤。CAS是一种广泛使用的开放源代码单点登录协议,它允许用户通过一次认证就可以访问多个应用系统,提高了...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值