ASP.NET 4.0验证请求 A potentially dangerous Request.Form value was detected from the client

于 2019-07-10 08:37:02 发布
阅读量173 收藏
点赞数
原文链接:http://www.cnblogs.com/TSPWater/archive/2012/01/31/2333210.html
版权

在安装了Visual Studio 2010 之后,当页面输入框默认情况下输入“<”或者“>”的时候。按照访问策略,这将导致一些安全问题,诸如:跨站脚本攻击 (cross-site scripting attack)。而这个问题的更准确描述则是,当你在安装了.NET Framework 4.0以上版本后,当你的应用程序以.NET Framework 4.0为框架版本,你的任意服务器请求,都将被进行服务器请求验证(ValidationRequest),这不仅包括ASP.NET,同时也包括Web Services等各种HTTP请求,不仅仅针对aspx页面,也针对HTTP Handler,HTTP Module等,因为这个验证(Valify)的过程,将会发生在BeginRequest事件之前。

基于以上原理,在ASP.NET之前的版本中,请求验证也是默认开通的,但是发生在页面级(aspx)的,并且只在请求执行的时候生效,因此,在旧的版本中,我们只需要按以下方式配置即可:

在页面级别(aspx中)设置
ValidateRequest="false"
或者
在全局级别(Web.config中)设置
<configuration>
    <system.web>
        <pages  validateRequest="false">

但是,以上设置仅对ASP.NET4.0以上有效。在ASP.NET4.0版本上,我们需要更多一行的配置:

在全局级别(Web.config中)设置
<configuration>
    <system.web>
        <httpRuntime  requestValidationMode="2.0">

这一点其实在发生错误的页面中已经有说明了。在实际使用过程中,不仅如此,而且requestValidationMode只要设置成小于 4.0就可以,比如:1.0,2.0,3.0,3.9都是可以的,错误提示中指明用2.0,目的只是说明用ASP.NET 2.0的默认方式进行工作。

转载于:https://www.cnblogs.com/TSPWater/archive/2012/01/31/2333210.html

weixin_30617561
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
asp.net4.0框架下验证机制失效的原因及处理办法
01-20
ASP.NET请求验证功能为我们提供应用程序的安全保证,避免站点受到XSS跨站脚本攻击。...但是在ASP.NET 4.0框架下,你会发现,即使你这样做,仍然会提示你这样的一个异常“A potentially dangerous Request.Form v
A potentially dangerous Request.Form value was detected from the client 的处理
wangzhi211的专栏
08-20 448
公司系统从Asp.net 2.0升级到Asp.net 4.0 时,部分页面出现A potentially dangerous Request.Form value was detected from the client的错误. 查找发现原因是由于用户在textbox输入了类似Html的标记如:. 在网上找到如下的方案解决, 用户在页面上提交表单到服务器时,服务器会检测到一些潜在的输入风险,
处理asp.net出现A potentially dangerous Request.Form value was detected from the client
码农
06-11 806
错误提示: A potentially dangerous Request.Form value was detected from the client (txtTest="").   由于在.net中,Request时出现有HTML或Javascript等字符串时,系统会认为是危   险性值。立马报错。   解决方案一: 在.aspx文件头中加入这句: 解决方
错误提示: A potentially dangerous Request.Form value was detected from the client ....
mathew的专栏
08-01 4005
我今天遇到了....::错误提示: A potentially dangerous Request.Form value was detected from the client (txtTest=""). 由于在.net中,Request时出现有HTML或Javascript等字符串时,系统会认为是危 险性值。立马报错。 解决方案一: 在.aspx文件头中加入这句:
VS.NET常见错误及解决方法集锦
远方星空
05-04 1424
一.vs.net在新建工程时弹出"Automation 服务器不能创建对象"的解决方案原因是FileSystemObject创建失败的问题,解决的方法:运行Regsvr32 scrrun.dll二. 错误提示: A potentially dangerous Request.Form value was detected from the client (txtTest=""). 由于在.net中
.net报错----A potentially dangerous Request.Form value was detected from the client
梦悠哉的博客
04-17 2502
问题    .net项目,项目表单里面需要提交带有<strong></strong>或者<br/>这种带有html标签的字符串,提交标签时候就会出现A potentially dangerous Request.Form value was detected from the client错误,如下面截图: 原因   &...
ASP.NET.Web.API.and.Angular.2.17864
10-17
Now, this front-end can change to a mobile app, a website, desktop app, but what you do at the back doesn't change and remains ASP.NET Web API. This book focuses on blending and connecting ASP.NET ...
ASP.NET Web API and Angular 2(PACKT,2016)
10-16
Now, this front-end can change to a mobile app, a website, desktop app, but what you do at the back doesn’t change and remains ASP.NET Web API. This book focuses on blending and connecting ASP.NET ...
a project model for the FreeBSD Project.7z
08-21
A project model for the FreeBSD Project Niklas Saers Copyright © 2002-2005 Niklas Saers [ Split HTML / Single HTML ] Table of Contents Foreword 1 Overview 2 Definitions 2.1. Activity 2.2. Process ...
A PACKING GENERATION SCHEME FOR THE GRANULAR.pdf
10-07
The packing program was coded based on a newly proposed scheme which obeys the no interpenetration kinematics of solid bodies. New contact detection algorithms for any two ellipsoids in the packing ...
A potentially dangerous Request.Form value was detected from the client
我的英文站点:https://iorilan.medium.com/
09-29 1158
问题描述: ASP.NET has detected data in the request that is potentially dangerous because it might include HTML markup or script. The data might represent an attempt to compromise the security of your appl...
解决ASP.NET的“A potentially dangerous Request... value was detected
MiNG 的专栏
09-04 2906
最近做一个简单的web项目(.NET Framework 3.5),自定义了一个handler(类似Java内的Servlet),本地开发环境(VS2012)测试没有问题,发布到服务器的IIS就出错了,访问handler映射地址时出现如下提示: A potentially dangerous Request.QueryString value was detected from the clie
解决.Net 4.0 A potentially dangerous Request.Form value was detected from the client 异常
weixin_33716154的博客
08-29 108
解决ASP.NET 4.0   "A potentially dangerous Request.Form value was detected from the client". 错误在.net中,Request时出现有HTML或Javascript等字符串时,系统会认为是危险性值。立马报错。(在.aspx文件头中加入这句: &lt;%@ Page validateRequest="false...
国内移动端APP月活跃(MAU)Top5000 数据整理
06-16
国内移动端APP月活跃(MAU)Top5000 时间范围:2020年-2022年 具有一定参考价值 csv格式
和平巨魔跨进成免费.ipa
最新发布
06-16
和平巨魔跨进成免费.ipa
数据库管理工具:dbeaver-ce-23.0.4-macos-aarch64.dmg
06-16
1.DBeaver是一款通用数据库工具,专为开发人员和数据库管理员设计。 2.DBeaver支持多种数据库系统,包括但不限于MySQL、PostgreSQL、Oracle、DB2、MSSQL、Sybase、Mimer、HSQLDB、Derby、SQLite等,几乎涵盖了市场上所有的主流数据库。 3.支持的操作系统:包括Windows(2000/XP/2003/Vista/7/10/11)、Linux、Mac OS、Solaris、AIX、HPUX等。 4.主要特性: 数据库管理:支持数据库元数据浏览、元数据编辑(包括表、列、键、索引等)、SQL语句和脚本的执行、数据导入导出等。 用户界面:提供图形界面来查看数据库结构、执行SQL查询和脚本、浏览和导出数据,以及处理BLOB/CLOB数据等。用户界面设计简洁明了,易于使用。 高级功能:除了基本的数据库管理功能外,DBeaver还提供了一些高级功能,如数据库版本控制(可与Git、SVN等版本控制系统集成)、数据分析和可视化工具(如图表、统计信息和数据报告)、SQL代码自动补全等。
【课件】8.4.1简单选择排序.pdf
06-16
【课件】8.4.1简单选择排序
写的一个静态网站随便写的
06-16
写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的写的一个静态网站随便写的
Java项目-基于SSM+JSP的教学质量评价系统的设计与实现(源码+万字LW+部署视频+代码讲解视频+全套软件)
06-16
【基于SSM+JSP的教学质量评价系统的设计与实现】高分通过项目,已获导师指导。 本项目是一套基于SSM+JSP的教学质量评价系统,主要针对计算机相关专业的正在做毕设的学生和需要项目实战练习的Java学习者。也可作为课程设计、期末大作业 包含:项目源码、数据库脚本、开发说明文档、部署视频、代码讲解视频、全套软件等,该项目可以直接作为毕设使用。 项目都经过严格调试,确保可以运行! 项目详情: https://blog.csdn.net/u011832806/article/details/139522897
The request was rejected because the URL contained a potentially malicious String "//"
11-24
根据提供的引用内容,可以看出这是一个Spring Security的异常,它是由于URL中包含了潜在的恶意字符串而被拒绝的。其中"%3B"和"//"都是常见的恶意字符串,因为它们可以用于绕过URL过滤器,执行一些恶意操作,例如SQL注入、跨站脚本攻击等。 为了解决这个问题,可以采取以下措施: 1. 在Spring Security配置中启用URL编码过滤器,它可以自动将URL中的特殊字符进行编码,从而防止恶意字符串的出现。 2. 对于一些敏感的URL,可以采用白名单机制,只允许特定的URL通过过滤器,其他的URL都将被拒绝。 3. 对于一些需要包含特殊字符的URL,可以采用安全编码的方式,例如Base64编码,将特殊字符转换为安全的字符,从而避免恶意字符串的出现。 ```java // 启用URL编码过滤器 @Configuration @EnableWebSecurity public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http .authorizeRequests() .anyRequest().authenticated() .and() .formLogin() .and() .httpBasic() .and() .csrf() .ignoringAntMatchers("/h2-console/**") // 忽略H2控制台的CSRF保护 .and() .headers() .frameOptions().sameOrigin() // 允许H2控制台的iframe加载 .and() .addFilterBefore(new RequestRejectedExceptionFilter(), ChannelProcessingFilter.class) // 添加URL编码过滤器 .sessionManagement() .sessionCreationPolicy(SessionCreationPolicy.STATELESS); } } // URL编码过滤器 public class RequestRejectedExceptionFilter extends OncePerRequestFilter { @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException { String requestUri = request.getRequestURI(); if (requestUri.contains("%3B") || requestUri.contains("//")) { throw new RequestRejectedException("The request was rejected because the URL contained a potentially malicious String"); } filterChain.doFilter(request, response); } } ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值