在页面中我添加一个dropdownlist,里面添加的数据总会报错:从客户端中检测到有潜在危险的 Request.Form 值。
这是为什么呢?
其实我已经说的很明白了,是我dropdownlist里面的值有问题,asp.net 中的请求验证特性提供了一种保护措置用来防止xss攻击,并且在asp.net中,这种请求验证是默认启动的。
科普一下,根据百度百科介绍:
XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如
同源策略
(same origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的
网络钓鱼
(Phishing)攻击而变得广为人知。对于
跨站脚本攻击,
黑客界共识是:跨站脚本攻击是新型的“
缓冲区溢出攻击
“,而JavaScript是新型的“ShellCode”。
那么,该怎么解决这个问题呢:
在.net2.0的情况下:
如果只是一个页面有这个问题,我们可以在页面中加入:ValidateRequest="false",ValidateRequest为false,是指在页面提交时验证关闭,代码如下:
<%@ Page ValidateRequest="false" Language="C#" AutoEventWireup="true" CodeFile="htl.aspx.cs" Inherits="htl" %>
如果是很多页面的话,就可以在web.config中修改:
<system.web>
<pages validateRequest="false" >
</pages>
</system.web>
在.net4.0情况下:
4.0模式默认情况下,任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括Session、 Cookie 等。强制启用,不管 validateRequest 为何值,所以只是单纯的修改validateRequest 并没有什么作用,我们就需要设置还原2.0仅对网页启用请求验证
然后以2.0的修改方法进行修改,代码如下:
<system.web>
<httpRuntime requestValidationMode="2.0" />
<pages validateRequest="false"></pages>
</system.web>
但是,这些方法只是关闭了对XSS防御,真正的前端开发需要另外编写程序进行XSS防御。