简介
本文介绍如何在 ASP.NET 应用程序中添加更多预防措施,以帮助防范常见的规范化问题。
更多信息
何为规范化?
规范化是一种过程,通过该过程可以将一个名称的各种等效形式解析为单个标准名称,即“规范”名称。例如,在一台特定的计算机上,c:/dir/test.dat、test.dat 和 ../../test.dat 等名称可能均指同一个文件。规范化就是将这些名称映射到类似于 c:/dir/test.dat 的名称的过程。当 Web 服务器收到 URL 后,该服务器将请求映射到一个确定响应的文件系统路径。用来映射该请求的规范化例程必须正确分析此 URL,以避免提供或处理不需要的内容。有关规范化的更多信息,请访问下面的 Microsoft Web 站点: 我们建议您使用最佳做法来帮助维护您的应用程序。有关其他信息,请参见下一节。
在 Web 应用程序中添加其他规范化预防措施
Microsoft ASP.NET 开发人员通过向 Web 应用程序的根目录中存储的 Global.asax 文件添加 Application_BeginRequest 事件处理程序,可以为 Web 应用程序添加更多检查内容,以帮助减少规范化问题。此事件处理程序对每个 Web 请求均会执行,程序员可以在该程序中方便地插入代码来帮助防范规范化问题。代码示例
下面的示例演示了如何将 Application_BeginRequest 事件处理程序添加到 Global.asax 文件。该事件处理程序将执行有助于防止无效字符和格式不正确的 URL 的路径验证,从而可以帮助防范常见的规范化问题。Global.asax 代码示例 (Visual Basic .NET)
<script language="vb" runat="server">
Sub Application_BeginRequest(Sender as Object, E as EventArgs)
If (Request.Path.IndexOf(chr(92)) >= 0 OR _
System.IO.Path.GetFullPath(Request.PhysicalPath) <> Request.PhysicalPath) then
Throw New HttpException(404, "Not Found")
End If
End Sub
</script>
Global.asax 代码示例 (C#)
<script language="C#" runat="server">
void Application_BeginRequest(object source, EventArgs e) {
if (Request.Path.IndexOf('//') >= 0 ||
System.IO.Path.GetFullPath(Request.PhysicalPath) != Request.PhysicalPath) {
throw new HttpException(404, "not found");
}
}
</script>
这篇文章中的信息适用于:
• | Microsoft ASP.NET (included with the .NET Framework 1.0) |
• | Microsoft ASP.NET 1.1 |
• | Microsoft .NET Framework 1.0 |
• | Microsoft .NET Framework 1.0 Service Pack 1 |
• | Microsoft .NET Framework 1.0 Service Pack 2 |
• | Microsoft .NET Framework 1.0 Service Pack 3 |
• | Microsoft .NET Framework 1.1 |
• | Microsoft .NET Framework 1.1 Service Pack 1 (SP1) |
关键字: | kbsecurity kbtshoot KB887459 |