从客户端中检测到有危险的 Request.QueryString 值 的解决方法

最新推荐文章于 2021-02-16 17:00:06 发布
最新推荐文章于 2021-02-16 17:00:06 发布
阅读量4.9k 收藏
点赞数
分类专栏: net 网页设计 文章标签: html 数据库 编码 标签 文本编辑
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012712556/article/details/80266273
版权

如果在页面中,将文本编辑器内的文本内容直接提交给后台后提示“存在危险的 Request.QueryString 值“,如下图所示
这里写图片描述

错误发生的原因
那是因为文本编辑器自动设置了文本的格式,即添加了各种HTML标签,所以我们在使用里面的内容时,需要在前台用JS方法将HTML标签进行编码,将编码后的文本内容传递给后台,在后台用C#的方法将它解码成HTML标签后存到数据库中。
这里写图片描述
这里写图片描述

编码后的内容
这里写图片描述

通过JS对HTML标签编码和解码

 var HtmlUtil = {
            /*1.用浏览器内部转换器实现html转码*/
            htmlEncode:function (html){
                //1.首先动态创建一个容器标签元素,如DIV
                var temp = document.createElement ("div");
                //2.然后将要转换的字符串设置为这个元素的innerText(ie支持)或者textContent(火狐,google支持)
                (temp.textContent != undefined ) ? (temp.textContent = html) : (temp.innerText = html);
                //3.最后返回这个元素的innerHTML,即得到经过HTML编码转换的字符串了
                var output = temp.innerHTML;
                temp = null;
                return output;
            },
            /*2.用浏览器内部转换器实现html解码*/
            htmlDecode:function (text){
                //1.首先动态创建一个容器标签元素,如DIV
                var temp = document.createElement("div");
                //2.然后将要转换的字符串设置为这个元素的innerHTML(ie,火狐,google都支持)
                temp.innerHTML = text;
                //3.最后返回这个元素的innerText(ie支持)或者textContent(火狐,google支持),即得到经过HTML解码的字符串了。
                var output = temp.innerText || temp.textContent;
                temp = null;
                return output;
            }
        };

首先定义两个方法,然后可通过HtmlUtil.htmlEncode()和HtmlUtil.htmlDecode()`方法对编辑器内的内容进行编码和解码

.NET编码解码

System.Web.HttpUtility.HtmlEncode() //对HTML标签编码
System.Web.HttpUtility.HtmlDecode()   //对HTML标签解码

如果采用.Net MVC,可在相应的Action上添加[ValidateInput(false)]特性
但是如果你使用的是MVC 3.0甚至更低版本,那么你会发现做了以上的设置后还是无效。这是因为你还需要在web.config中做以下设置:

<system.web > 
<httpRuntime requestValidationMode="2.0" / > 
</system.web >
时间蜗牛
关注
专栏目录
输入输出验证
武天旭的博客
10-04 1435
一、SQL注入 当应用程序将用户输入的内容,拼接到SQL语句,一起提交给数据库执行时,就会产生SQL注入威胁 1、是否存在全局过滤器。过滤器配置、过滤函数等 2、过滤器是否可以过滤所有查询请求 3、请求是否都按要求经过过滤器处理
客户端检测到有潜在危险Request.Form
cmslovehxh的专栏
04-26 777
提交查询时,报错显示"从客户端检测到有潜在危险Request.Form "(.Net Framework1.1)的解决方案: 1、web.config文件后面加入这一句: 示例: 2、在*.aspx文件头的Page加入validateRequest="false",示例如下:
解决全局捕获异常:从客户端xml检测到有潜在危险Request.QueryString
confused_kitten的博客
03-09 970
转自 http://shiyousan.com/post/635563669112062894ASP.NET MVC项目,MVC比较简单,只要在控制器上设置属性ValidateInput(false)就行,例如:[HttpPost] [ValidateInput(false)] public ActionResult Create(string strText) { /*此处省略代码1000行…...
潜在危险Request.Form 避免方法
10-26
在 .net framework 4.0在 system.web 加上httpRuntime requestValidationMode="2.0" 这句即可解决,需要的朋友可以了解下
客户端检测到有潜在危险Request.QueryString ? 出错对策大总结?
dingba0214的专栏
02-28 456
解决办法: 一、解决方法是在web.config的 里面加入<system.web> <pages validateRequest="false"/></system.web> 对全局有效 示例: <?xml version="1.0" encoding="gb2312" ?> <configuration&...
[转]在 Web 应用程序防止脚本利用
LWL309599430的博客
09-02 292
大多数脚本利用发生在用户可以将可执行代码(脚本)插入您的应用程序时。默认情况下,ASP.NET 提供请求验证。不管窗体发送包含什么样的 HTML,该验证都会引发错误。您可以使用下列方法防止脚本利用: 在接受或显示字符串之前,将 HTML 编码应用于它们,以便字符串不包括任何可执行元素。 如果您的应用程序需要接受某些 HTML,则禁用请求验证并创建您自己的 HTML 筛选器。 本主题的过...
MVC从客户端检测到有潜在危险Request.QueryString
weixin_30478619的博客
07-11 532
这种问题有两种方案 方案一: [ValidateInput(false)] public ActionResult Index() { string ss = Request["rec"]; //客户端输入了res=<table>  return View(); } 方案二: 在WebConfig配置: &lt...
MVC 从客户端检测到有潜在危险Request.QueryString
Hello World
11-03 3810
[ValidateInput(false)] public ActionResult About(string name) { ViewBag.Name = HttpUtility.HtmlEncode(name); ViewBag.Name = name; return View();
net mvc4.5从客户端检测到有潜在危险Request.Form 解决方法
热门推荐
草灯的专栏
05-23 2万+
今天,在做一个mvc表单提交,其内容框使用KindEditor插件,支持带html文本内容,结果在提交的时候遇到如下提示:   测试   查阅多方资料,大多修改方案如下:   可是我在根目录配置文件下做了以上调整,还是提示错误!!!   最后又想到可以直接根据当前Action方法不做判断的方法,一时想不起,经查找,设置如下:   最终展示效果如下:
客户端(textarea="<p>wewqe</p>")检测到有潜在危险Request.QueryString
Sakura的博客
07-08 7196
用过富文本编辑器的人应该会遇到过这类似的问题,就是在我对富文本上的文字进行保存的时候,有2种方式,一 种是纯文本信息,如:“今天我写了一个博客”,而另一种就是纯html格式,如:“今天我写了一个博客”。 有的时候我们为了方便对文本信息的处理可能会将编辑的内容保存成html格式存放到数据库,这样可以方便我们的后续操作,比如原来的一些样式不会变,但你存string字符串格式获取到文本后就得
解决跨站脚本注入,跨站伪造用户请求,sql注入等http安全漏洞
LinkinPark的博客
06-08 1万+
跨站脚本就是在url上带上恶意的js关键字然后脚本注入了,跨站伪造用户请求就是没有经过登陆,用超链接或者直接url上敲地址进入系统,类似于sql注入这些都是安全漏洞。 sql注入 1、参数化查询预处理,如java使用PreparedStatement()处理变量。 2、转义敏感字符及字符串(SQL的敏感字符包括“exec”,”xp_”,”sp_”,”declare”,”U
Request.QueryString 乱码问题
07-22
Request.QueryString 获取的文变乱码了,解决方法如下 1、html,可以用js的 encodeURI() 方法将要传的文处理,例如 encodeURI("I am 乱码") ,处理之后,字符串文 “乱码” 两字将会被被十六进制的转义序列进行替换。
java 过滤跨站攻击_存储XSS跨站脚本攻击过滤解决方案
weixin_29625619的博客
02-16 1006
漏洞描述:本页面存在跨站脚本攻击。跨站脚本漏洞,即XSS,通常用Javascript语言描述,它允许攻击者发送恶意代码给另一个用户。因为浏览器无法识别脚本是否可信,跨站漏洞脚本便运行并让攻击者获取其他用户的cookie或session。加固建议:总体修复方式:验证所有输入数据,有效检测攻击;对所有输出数据进行适当的编码,以防止任何已成功注入的脚本在浏览器端运行。具体如下 :输入验证:某个数据被接受...
客户端检测到有潜在危险Request.Form
lxy_abcde1190的专栏
05-04 830
asp.net开发,经常遇到“从客户端检测到有潜在危险Request.Form ”错误提示,很多人给出的解决方案是:1、web.config文档后面加入这一句: 示例: 2、在*.aspx文档头的page加入validaterequest="false",示例如下:  其实这样做是不正确的,会给程序安全带来风险。  ASP.Net 1.1后引入了对提交表单
检测到有潜在危险Request.Form(QueryString) ”的解决方法
aqxr6403的博客
08-15 192
如果我只想将网站的something.ashx禁用requestValidation.那么你需要在web.config做如下修改: 在 configuration的子节点添加location节点(在System.web节点之外),如下:<system.web>...</system.web> <locationpath="somthing.as...
客户端检测到有潜在危险request.form 以及 request.querystring[解决方法]
10年职场两茫茫,35岁凄凉奈若何
12-10 189
客户端检测到有潜在危险request.form 以及 request.querystring[解决方法]
客户端XX检测到有潜在危险Request.XX
婴儿学习经验讨论交流
01-06 909
由于在.netRequest时出现有HTML或Javascript等字符串时,系统会认为是危险。立马报出“从客户端 检测到有潜在危险的 Request”这样的错。   解决方案一:    在.aspx文件头加入这句:        解决方案二:    修改web.config文件:                        因为validateRequest默认为true。只要
A potentially dangerous Request.QueryString value was detected from the client 的解决办法
pigHead_chen的专栏
04-23 2573
今天遇到一个问题,没见过。用QueryString 去接受 字符串“☞☞”时出错了,直接崩了。显示A potentially dangerous Request.QueryString value was detected from the client (title="☞☞&#9758..."). Description: Requ
ASP.NETQueryString安全获取写法
shadowjl的专栏
07-31 988
public class Util{private Util(){}//从querystring集合安全的取得一个string.(总是不会有null,所以叫做Safe)public static string GetStringSafeFromQueryString(Page page,string key){string value=page.Requ
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值