ASP.NET 4.0请求验证

最新推荐文章于 2019-06-18 14:07:00 发布
最新推荐文章于 2019-06-18 14:07:00 发布
阅读量94 收藏
点赞数
原文链接:http://www.cnblogs.com/sohobloo/archive/2012/10/04/2711219.html
版权

在客户端文本框中输入HTML标签等危险内容点提交,会出现脚本错误:

消息: Sys.WebForms.PageRequestManagerParserErrorException: 未能分析从服务器收到的消息。

 

修改方法如下:

<system.web>
    <httpRuntime requestValidationMode="2.0" />
    <pages validateRequest="false"></pages>
</system.web>

 

深入:

validateRequest=“false”是关闭验证

但在 4.0 中还多了一个 requestValidationMode,这是什么意思呢?

requestValidationMode 有两个值:

  • 2.0 仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
  • 4.0 默认值。任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。

由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。

ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他仅仅应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。

 

更多:

如果开启验证,仍然可以在服务器端捕获HttpRequestValidationException异常并加以处理(未验证)

    protected void Page_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();
        if (ex is HttpRequestValidationException)
        {
            //处理异常
            Server.ClearError();
        }
    }

转载于:https://www.cnblogs.com/sohobloo/archive/2012/10/04/2711219.html

weixin_30493321
关注
比较好的asp.net 提交验证方案
08-27
asp.net 提交的过程中是受验证模块的困扰,验证码保存到页面或者 cookie里会暴露给客户端,如果用户同时打开多个页面提交的话session 就无法正常工作了。
ASP.Net4中实现自定义的请求验证
大灰狼来了
10-08 582
导读:在.Net4中有个System.Web.Util.RequestValidator类,该类是自定义请求验证的基类。我们可以通过实现一个继承自该基类的类,从而实现自己的请求验证过程,比如对提交的表单数据,查询字符串等等进行验证。 1. 请求验证什么? 首先,请看下图: 上图中,是我们常见一个ASP.Net错误提示.由于ASP.Net默认情况是把请求验证(validateRequest
ASP.NET中的请求验证
weixin_30295091的博客
06-18 135
这两天做项目的时候偶然发现项目中的保存功能的时候出现这样的异常:异常详细信息: System.Web.HttpRequestValidationException: 从客户端(XXXX)中检测到有潜在危险的 Request.Form 值。经过查询调试发现,保存的文本中存在回车符,<br/>标签作为参数的值的一部分传到后台了,被后台检测出有潜在的风险。 首先的...
asp.net中常用的几种身份验证方式
java开发指南博客 【转载】
06-03 489
前言 在B/S系统开发中,经常需要使用“身份验证”。因为web应用程序非常特殊,和传统的C/S程序不同,默认情况下(不采用任何身份验证方式和权限控制手段),当你的程序在互联网/局域网上公开后,任何人都能够访问你的web应用程序的资源,这样很难保障应用程序安全性。通俗点来说:对于大多数的内部系统、业务支撑平台等而言,用户必须登录,否则无法访问和操作任何页面。而对于互联网(网站)而言,又有些差异,因为...
ASP.NET 4.0请求验证报错 从客户端...中检测到有潜在危险的 Request.Form 值
weixin_34041003的博客
11-22 131
如下报错: 修改方法如下: 在web.config方法中的httpRuntime标记中添加 requestValidationMode="2.0" <system.web> <httpRuntime/> <pagesvalidateRequest="false"></pages>&l...
ASP.Net 4.0 --- 宏观介绍(一)
BXA
08-11 1298
ASP.Net 4.0 — 宏观介绍(一)不得不讲的 .Net Framework 差不多10年前,微软发布了.NetFramework的第一个版本,它是软件设计新趋势的起点。受到Java、COM以及Web的鼓舞,并且认识到了之前各项技术的缺陷和限制,微软开始重置他们的开发平台,结果开发了一个被称作ASP.NET的用于构建网站的工具。
ASP.NET 4.0: 验证错误,检测到有潜在危险的 Request.Form 值。
bangpie20080219的博客
11-20 165
ASP.NET请求验证功能提供了对跨站点脚本(XSS)攻击的保护。ASP.NET的早期版本仅仅在ASP.NET页执行。 在ASP.NET 4请求验证启用了所有的请求,因为它在HTTP的BeginRequest前启用,因此,请求验证适用于所有ASP.NET资源,而不仅仅是.aspx页。包括如Web服务和自定义HTTP处理程序。 要恢复到2.0的ASP.NET请求验证功能的行为,要在以...
ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效
草青工作室 的专栏
11-27 1189
ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest="false"。或者在MVC中,我们可以通过在Controller或者Action上设置[ValidateR
ASP.NET 4.0 网站开发与项目实战 光盘
02-22
6. **安全性**:学习如何实施ASP.NET的安全特性,如身份验证、授权、角色管理和跨站请求伪造(CSRF)防护,确保应用程序的安全性。 7. **部署与发布**:掌握如何将ASP.NET 4.0应用部署到IIS服务器,包括配置Web....
ASP.NET 4.0从入门到精通(视频实战版).pdf
10-16
### ASP.NET 4.0 从入门到精通(视频实战版)知识点概览 #### 一、ASP.NET 4.0 概述 1. **ASP.NET 的发展历程**: - ASP.NET 是由微软开发的一套用于构建动态网页应用程序的技术框架。 - ASP.NET 4.0 是该技术在...
asp.net4.0框架下验证机制失效的原因及处理办法
01-20
ASP.NET请求验证功能为我们提供应用程序的安全保证,避免站点受到XSS跨站脚本攻击。但在有些时候,比如我们需要使用Ckeditor等在线文本编辑器让用户输入一些HTML文本,在ASP.NET 2.0框架下,通过在web.config中设置...
ASP.Net 4.0基础教程(C#).rar
08-16
ASP.NET 4.0是微软开发的一个用于构建Web应用程序的框架,主要基于C#编程语言。这个基础教程涵盖了多个关键概念和技术,对于初学者或希望深入理解ASP.NET 4.0的开发者来说非常有价值。 首先,我们要关注的是“第三...
ASP.NET里面的身份验证和授权(一)
不忘初心
12-04 4866
在学习ASP.NET中,接触到了里面的身份验证和授权。我们就来具体总结一下这方面的知识。说到身份验证,我们以前的身份验证和授权都是基于Session来做的,都是从数据库中进行查找,比如说登陆的页面,我一登陆的时候输入用户名和密码,在数据库中查找,如果查找发现它是正确的,我们在Session中做一个标记,记录下来它是正确的。以后在访问其他页的时候,如果你有权限限制的话,每一页都判
Hbase-ha集群搭建.docx
10-07
在资源《hadoop整合zoomkeeper高可用集群搭建》上继续
使用vueJS2 X+节点JS9 X+mongoDB3.X做的一个全栈电商项目,全称叫凯游商城,由小小游倾力打
10-07
使用vueJS2。X+节点JS9。X+mongoDB3.X做的一个全栈电商项目,全称叫凯游商城,由小小游倾力打造!_backend-kmall.zip
免费下载,计算机毕设,毕业设计,课程设计,基于JAVA的机场航班起降与协调管理系统,附源码+数据库+论文
10-07
免费下载,计算机毕设,毕业设计,课程设计,基于JAVA的机场航班起降与协调管理系统,附源码+数据库+论文
神马物流系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS).zip
最新发布
10-07
神马物流系统 SSM毕业设计 源码+数据库+论文(JAVA+SpringBoot+Vue.JS) 启动教程:https://www.bilibili.com/video/BV1GK1iYyE2B
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值