ASP.Net4中实现自定义的请求验证

最新推荐文章于 2023-01-13 22:56:28 发布
最新推荐文章于 2023-01-13 22:56:28 发布
阅读量579 收藏
点赞数
分类专栏: ASP.NET 文章标签: asp.net 扩展 path url null string

导读:在.Net4中有个System.Web.Util.RequestValidator类,该类是自定义请求验证的基类。我们可以通过实现一个继承自该基类的类,从而实现自己的请求验证过程,比如对提交的表单数据,查询字符串等等进行验证。

1. 请求验证什么?

首先,请看下图:

上图中,是我们常见一个ASP.Net错误提示.由于ASP.Net默认情况是把请求验证(validateRequest)设置是为true,从而使得ASP.Net会对提交的信息进行检查,这在一定程度上有效的阻止了某些危险攻击,比如:跨站脚本攻击(XSS/CSS)。

但是,也存在以下问题:

有时候,我们允许用户输入某些特殊时,如果按照请求验证(validateRequest)默认设置true,那么当用户输入我们允许的特殊字符时,就会出现如上图所示的错误提示,阻止了用户输入.此时,我们必须将请求验证设置为false,才能允许用户输入特殊字符。可是,一旦把请求验证设置为false,那么ASP.Net就不会对请求验证了,这样其潜在危险就超过了我们的控制范围.

虽然,我们可以在某些页面做特殊处理,以便阻止这些潜在的危险.可以,随着项目扩大,也许要处理的页面就会增长.显然,我们需要灵活、方便、更好的方式进行处理.那么现在在ASP.NET4就为我们提供了一个可以集中处理的自定义扩展点。

2.RequestValidator

在.Net4中有个System.Web.Util.RequestValidator类,该类是自定义请求验证的基类.我们可以通过实现一个继承自该基类的类,从而实现自己的请求验证过程.

目前,可以验证的请求由枚举类RequestValidatorSource提供,可枚举项具体如下:

1. QueryString 查询字符串。

IsValidRequestString方法的collectionKey参数设置为集合中查询字符串参数的名称。

IsValidRequestString方法的value参数设置为集合中查询字符串参数的值。

2. Form窗体值

IsValidRequestString方法的collectionKey参数设置为集合中窗体参数的名称。

IsValidRequestString方法的value参数设置为集合中窗体参数的值。

3. Cookies请求Cookie。

IsValidRequestString方法的collectionKey参数设置为集合中的Cookie的名称。

IsValidRequestString方法的value参数设置为集合中的值。

4.Files上载的文件。

IsValidRequestString方法的collectionKey参数设置为集合中已上载文件的名称。

IsValidRequestString方法的value参数设置为集合中已上载文件的值。

5. RawUrl原始URL。(域后的URL部分。)

IsValidRequestString方法的collectionKey参数设置为null。(RawUrl不是值集合。)

IsValidRequestString方法的value参数设置为RawUrl字段的值。

6. Path虚拟路径。

IsValidRequestString方法的 collectionKey参数设置为null(Path不是值的集合)。

IsValidRequestString方法的value参数设置为Path字段的值。

7. PathInfo HTTP PathInfo字符串(URL路径的扩展)。

IsValidRequestString方法的collectionKey参数设置为null(PathInfo不是值的集合)。

IsValidRequestString方法的value参数设置为PathInfo字段的值。

8.Headers请求标头。

IsValidRequestString方法的collectionKey参数设置为集合中HTTP头的名称。

IsValidRequestString方法的value参数设置为集合中HTTP头的值。

通过以上这些枚举我们基本上就能对常见提交的数据进行统一请求验证处理,比如:忽略某些特殊的数据或者处理某些特殊的数据或者提供一个友好的错误页面等。

3.实现自定义请求验证

下面演示如何实现一个自定义验证类,对每个查询字符串验证.步骤如下:

1.继承RequestValidator类,只需要重写IsValidRequestString方法,如下:

using System;

using System.Collections.Generic;

using System.Linq;

using System.Web;

using System.Web.Util;

namespace WebApplication1

{

public class myRequestValidator:RequestValidator

{

protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)

{

validationFailureIndex = -1;

if (requestValidationSource == RequestValidationSource.QueryString) //对查询字符串进行验证

{

if (value.Contains("<"))//检查是否包含<,当然也可以检查其他特殊符号,或者忽略某些特殊符号.

{

context.Response.Redirect("~/Error.aspx",true);//直接转到自定义的错误页面.

return false;

}

}

return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

}

}

}

2.在web.config中设置请求验证类型为自定义的类型.如下: <configuration>

<system.web>

<compilation debug="true" targetFramework="4.0" />

<httpRuntime requestValidationType="WebApplication1.myRequestValidator" />

</system.web>

</configuration>

现在,我们通过修改url来提交带<特殊符号的页面时,将会被定向到自定义的错误页面,而不是默认错误提示.如下:

如下图所示,并没有出现默认的错误提示,而是到了我们自己提供一个错误页面

最后,ASP.Net4为我们提供很多扩展点,可以很方便进行扩展,使得我们的应用程序更加灵活可控。

小阿辉陶
关注
专栏目录
比较好的asp.net 提交验证方案
08-27
asp.net 提交的过程是受验证模块的困扰,验证码保存到页面或者 cookie里会暴露给客户端,如果用户同时打开多个页面提交的话session 就无法正常工作了。
ASP.Net4实现自定义请求验证,徐汇区网站设计
weixin_34416649的博客
09-15 60
转载于:https://www.cnblogs.com/waw/archive/2011/09/15/2177942.html
ASP.NET请求验证
weixin_30295091的博客
06-18 133
这两天做项目的时候偶然发现项目的保存功能的时候出现这样的异常:异常详细信息: System.Web.HttpRequestValidationException: 从客户端(XXXX)检测到有潜在危险的 Request.Form 值。经过查询调试发现,保存的文本存在回车符,<br/>标签作为参数的值的一部分传到后台了,被后台检测出有潜在的风险。 首先的...
ASP.NET 4.0请求验证
weixin_30493321的博客
10-04 92
在客户端文本框输入HTML标签等危险内容点提交,会出现脚本错误: 消息: Sys.WebForms.PageRequestManagerParserErrorException: 未能分析从服务器收到的消息。 修改方法如下: <system.web> <httpRuntime requestValidationMode="2.0" /> ...
Asp.net Core实现自定义身份认证的示例代码
10-15
在了解如何在*** Core实现自定义身份认证之前,我们需要先理解*** Core的身份认证机制。身份认证是验证用户身份的过程,*** Core提供了一套完整的身份认证系统,允许开发者自定义身份认证过程以满足不同场景的...
ASP.NET Core使用自定义验证属性控制访问权限详解
10-17
在*** Core,使用自定义验证属性控制访问权限是一...通过这篇文章提供的示例和步骤,开发者可以学会如何在*** Core应用实现复杂且灵活的访问控制机制。这不仅增强了API的安全性,也提高了应用的可维护性和扩展性。
ASP.NET编程知识】ASP.NET Core实现自定义WebApi模型验证详解.docx
05-15
ASP.NET Core实现自定义WebApi模型验证是提升应用程序数据完整性和安全性的重要步骤。传统的ASP.NET Framework,我们通常使用`ModelState.IsValid`来检查模型是否符合预设的验证规则,或者通过实现`...
ASP.NET Core 实现自定义WebApi模型验证实例讲解
10-16
在本文,我们将深入探讨如何在ASP.NET Core实现自定义Web API模型验证,以便根据业务需求定制验证规则。 在.NET Framework时代,我们通常会使用`ModelState.IsValid`属性来检查模型数据是否有效,如下面的示例...
ASP.NET编程知识】Asp.Net Core添加请求自定义认证的示例.docx
05-15
这篇文档将介绍如何在ASP.NET Core添加一个基于请求头的自定义认证示例。 ### 自定义认证流程 1. **实现`IAuthenticationHandler`接口**: `IAuthenticationHandler`是ASP.NET Core身份验证框架的核心接口,...
asp.net mvc重写RequestValidator
weixin_30369041的博客
01-20 135
/// <summary> /// <httpRuntime requestValidationType="xxx.CustomRequestValidator" /> /// </summary> public class CustomRequestValidator : RequestValidator { ...
ASP.NET: The Custom RequestValidator
xiaoliang10000的博客
09-19 368
首先我们先来看看 PagesSection.ValidateRequest 属性 请注意:此属性在 .NET Framework 2.0 版是新增的。 该获取或设置一个值,该值确定 ASP.NET 是否针对危险值检查来自浏览器的输入。默认为true。 如果为false,就会通过将所有输入数据与潜在危险值的列表进行比较来执行请求验证。如果出现匹配,则 ASP.NET 引发
System.Web.HttpRequestValidationException解决方法
zhendongzd
04-20 2866
从客户端(TextBox1="")检测到有潜在危险的 Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经止。该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节requestValidationMode 特性设置为 requestValidationM
ASP.NET Core 请求数据校验
qq_71012549的博客
01-13 568
上边我们提到了.NET Core 内置数据校验机制的不足,这里推推荐一个优秀的数据校验框架--FluentValidation,它可以让我们用类似于EF Core Fluent API的方式进行校验规则的配置,也就是我们可以把对模型类的校验放到单独的校验类 FluentValidation 可以用于控制台、WPF、ASPNET Core 等各种NET目。值得注意的是,我们在第7行代码的 withMessage方法还可以用 Lambda表达式的形式使用模型类的属性对报错信息进行格式化。
.Net Core开发学习(二) ——Web应用
自云—自在之心,无缚于体
06-10 2320
.Net Core开发学习(二) ——Web应用 新建 .NET Core Web应用 (.NET Core Web Application),项目结构如下: Pages 文件夹 包含 Razor 页面与代码文件。 Razor 页面:.cshtml 代码文件:.cshtml.cs _Layout.cshtml: 全局通用HTML布局模板页,可包含脚本与样式表,可用于设置通用页眉与页脚。 _ValidationScriptsPartial.cshtml: 页面表单验证依赖,适用于System.Compon
从客户端(content=“xxxxx“)检测到有潜在危险的 Request.Form 值——较合理解决方案
weixin_54522108的博客
09-26 999
从客户端(content="xxxxx")检测到有潜在危险的 Request.Form 值——较合理解决方案
ASP.NET里面的身份验证和授权(一)
不忘初心
12-04 4861
在学习ASP.NET,接触到了里面的身份验证和授权。我们就来具体总结一下这方面的知识。说到身份验证,我们以前的身份验证和授权都是基于Session来做的,都是从数据库进行查找,比如说登陆的页面,我一登陆的时候输入用户名和密码,在数据库查找,如果查找发现它是正确的,我们在Session做一个标记,记录下来它是正确的。以后在访问其他页的时候,如果你有权限限制的话,每一页都判
.NET Framework 4.0-RequestValidationMode
weixin_34326558的博客
05-20 331
先看如下 web.config 的代码: &lt;system.web&gt;     &lt;compilation debug="true" targetFramework="4.0"/&gt;     &lt;httpRuntime requestValidationMode="2.0" /&gt;     &lt;pages validateRequest="false&q
ASP.NET Core实现自定义验证特性(Custom Validation Attribute)
最新发布
05-25
ASP.NET Core实现自定义验证特性(Custom Validation Attribute)的步骤如下: 1. 创建一个继承自`ValidationAttribute`的自定义验证特性类,例如: ```csharp public class CustomValidationAttribute : ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值