禁止validateRequest的办法

最新推荐文章于 2014-05-28 15:00:00 发布
原创 最新推荐文章于 2014-05-28 15:00:00 发布 · 5.1k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript #.net #html

本文介绍了如何解决在.NET应用程序中因包含HTML或JavaScript字符串而引发的请求验证错误。提供了两种解决方案:一是通过设置页面属性validateRequest为false;二是修改web.config文件中的pages标签属性。
A  potentially  dangerous  Request.Form  value  was  detected  from  the  client  (txtTest="<b>").  由于在.net中,Request时出现有HTML或Javascript等字符串时,系统会认为是危险性值。立马报错。  
解决方案一:    
在.aspx文件头中加入这句:    
<%@  Page  validateRequest="false"    %>    
解决方案二:    
修改web.config文件:    
<configuration>    
   <system.web>    
       <pages  validateRequest="false"  />    
   </system.web>    
</configuration>    
因为validateRequest默认值为true。只要设为false即可。 
ValidateRequest 属性
Steven的专栏
10-17 4062
                在 ASP.NET 1.1 中,@Page 指令上的 ValidateRequest 属性被打开后,将检查以确定用户没有在查询字符串、Cookie 或表单域中发送有潜在危险性的 HTML 标记。如果检测到这种情况,将引发异常并中止该请求。该属性默认情况下是打开的;您无需进行任何操作就可以得到保护。如果您想允许 HTML 标记通过,必须主动禁用该属性。  Valida
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证
WebMatersl的专栏
05-01 5693
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证 说明:   请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在   Page   指令或   配置节中设置   validateRequest=false   可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检
.NET Framework 4.0-RequestValidationMode
weixin_34326558的博客
05-20 424
先看如下 web.config 的代码: &lt;system.web&gt;     &lt;compilation debug="true" targetFramework="4.0"/&gt;     &lt;httpRuntime requestValidationMode="2.0" /&gt;     &lt;pages validateRequest="false&q
VS2005(c#)项目调试问题解决方案集锦
weixin_34283445的博客
07-07 314
1.检测到有潜在危险的 Request.Form 值   原因:   (1)在提交数据的页面或webconfig中没有对validateRequest的属性进行正确的设置   (2)HTML里面写了两个 引起   解决:   方案一: 在.aspx文件头中加入这句:   方案二: 修改web.config文件:  &lt;configu...
.net 4.0 ValidateRequest="false" 无效解决方法
.NET 札记
01-07 864
安装了VisualStudio 2010 Ultimate,最近的一个项目升级到了4.0下,结果跑了一下,发现关于页面启用 ValidateRequest="false" 的部份失效。于是把web站点的版本及项目版本都降回原来的版本后,错误就消失了,于是搜索了一下,找到如下资料: A potentially dangerous Request.Form value was detected 
添加了ValidateRequest="false"仍然报错的解决办法
止水
09-11 8355
在文本框传递HTML代码时默认是不允许的,会提示有潜在危险字符,只要在页头的指令中加ValidateRequest="false" 就可以解决,如下所示: 或查看配置文件中是否有同样的设置,如: 若上述操作后仍然报错,可在配置文件中加入节如下:
关于ASP.NetvalidateRequest=false(验证请求)
wqhtiger的专栏
02-05 837
ASP.NetvalidateRequest=false       validateRequest="false"   指是否要IIS验证页面提交的非法字符,比如:>,    ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpReques
PagesSection.ValidateRequest 属性
12-23 391
微软给的解释为:获取或设置一个值,该值确定 ASP.NET 是否针对危险值检查来自浏览器的输入。命名空间:System.Web.Configuration程序集:System.Web(在 system.web.dll 中)默认validateRequest=true所以当我们有时候输入一些字符的时候,就会出来一个错误页面,一大段英文加上一个ASP.Net典型异常错误信息,非常难看;所以我们平时写代码的时候,有时候会禁用validateRequest=false;其实,正确的做法是在你当前页面添加Page_E
asp.net中的validaterequest属性与安全性
weixin_30797027的博客
05-16 173
  不知道大家之前有没有注意到这个属性,这里我们来一起讨论一下这个属性的作用以及我们以后到底该怎样使用它!   我们先来了解一下这个属性:(注:本属性在.net 2.0中是新增的!)   1.它所在的命名空间:System.Web.Configuration   2.程序集:System.Web(在 system.web.dll 中)   3.所在的类:pagesSection   上面...
请慎用ASP.NetvalidateRequest="false"
郑成的博客
06-25 552
      ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: 以下是引用片段:Server Error in /Your
警告:为了安全请不要随意将ASP.NetvalidateRequest="false
心语家园 - www.xinyucn.cc
11-03 375
Quote:ASP.Net1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用&lt;xxxx&gt;之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面:Server Error in '/YourApplicationP...
ValidateRequest
pmandy的专栏
11-15 200
指示是否应发生请求验证。如果为true,请求验证将根据具有潜在危险的值的硬编码列表检查所有输入数据。默认值为 true。 如果希望用户输入HTML代码,请设置为false 。 注意:在ASP.NET 2.0中不验证ashx请求,但是ASP.NET 4.0默认会验证, 如果希望在4.0中兼容2.0的行为,请在web.config中配置 ...
validateRequest
lavly的专栏
08-13 625
ASP.NET 默认会自动验证客户端提交的值,这是为了安全,但一方面也带来了麻烦,比如我们在客户端界面输入:,就会产生异常,这显然妨碍了我们的程序工作,参照 .NET Framework 2.0 原话进行解决:从客户端(tb="")中检测到有潜在危险的 Request.Form 值。 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝
添加数据时,页面的validateRequest属性设置
schumyxp的专栏
04-10 1150
有的时候,添加数据会出错,时因为validateRequest属性默认为true。这个是进行非法数据验证的。我们可以讲它关闭,例如:
ASP.NetvalidateRequest属性与跨站点脚本攻击
weixin_34006965的博客
08-20 208
黄河远上白云间,一片孤城万仞山。羌笛何须怨杨柳,春风不度玉门关 【跨站脚本攻击是指在远程WEB页面的html代码中插入具有恶意目的代码,用户误认为该页面是可信赖的,当用户打开该页面,浏览器会自动下载恶意代码,运行其中的脚本。通常跨站脚本被称为"XSS",这是为了与样式表"CSS"进行区分所形成的习惯,所以当你听某人提到CSS或者XSS安全漏洞时,...
validateRequest="false"属性及xss攻击
weixin_33701294的博客
05-28 276
validateRequest="false"   指是否要IIS验证页面提交的非法字符,比如:&gt;,&lt;号等,当我们需要将一定格式得html代码获得,插入数据库时候,就要将这个属性设置为false,例如你将字体加粗等操作时。 这是ASP.Net提供的一个很重要的安全特性。因为很多程序员对安全没有概念,甚至都不知道XSS这种攻击的存在,知道主动去防护的就更少了。ASP.Net...
ASP.NET 页面中的 ValidateRequest属性
陈希章@中国
02-28 1433
ValidateRequest 指示是否应发生请求验证。如果为 true,请求验证将根据具有潜在危险的值的硬编码列表检查所有输入数据。如果出现匹配情况,将引发 HttpRequestValidationException 异常。默认值为 true。 该功能在计算机配置文件 (Machine.config) 中启用。可以在应用程序配置文件 (Web.config) 中或在页上将该属性设置为 false 来禁用该功能。 注意: 该功能有助于减少对简单页或 ASP.NET 应用程序进行跨站点脚本攻击的
Traceback (most recent call last): File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\site-packages\urllib3\connectionpool.py", line 787, in urlopen response = self._make_request( conn, ...<10 lines>... **response_kw, ) File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\site-packages\urllib3\connectionpool.py", line 488, in _make_request raise new_e File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\site-packages\urllib3\connectionpool.py", line 464, in _make_request self._validate_conn(conn) ~~~~~~~~~~~~~~~~~~~^^^^^^ File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\site-packages\urllib3\connectionpool.py", line 1093, in _validate_conn conn.connect() ~~~~~~~~~~~~^^ File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\site-packages\urllib3\connection.py", line 741, in connect sock_and_verified = _ssl_wrap_socket_and_match_hostname( sock=sock, ...<14 lines>... assert_fingerprint=self.assert_fingerprint, ) File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\site-packages\urllib3\connection.py", line 920, in _ssl_wrap_socket_and_match_hostname ssl_sock = ssl_wrap_socket( sock=sock, ...<8 lines>... tls_in_tls=tls_in_tls, ) File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\site-packages\urllib3\util\ssl_.py", line 460, in ssl_wrap_socket ssl_sock = _ssl_wrap_socket_impl(sock, context, tls_in_tls, server_hostname) File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\site-packages\urllib3\util\ssl_.py", line 504, in _ssl_wrap_socket_impl return ssl_context.wrap_socket(sock, server_hostname=server_hostname) ~~~~~~~~~~~~~~~~~~~~~~~^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ File "C:\Users\czadmin\AppData\Local\Programs\Python\Python313\Lib\ssl.py", line 455, in wrap_socket return self.sslsocket_class._create(
最新发布
03-18
<think>好的,我现在需要解决用户提到的Python中urllib3连接时出现的SSL证书验证问题。用户希望找到解决方案,并且提到了引用中的pip安装命令和一些错误信息。首先,我得回忆一下urllib3常见的SSL证书问题。 首先,用户可能在使用urllib3发起HTTPS请求时遇到了证书验证失败的错误,比如SSLError或CertificateError。这可能是因为服务器的证书无效、自签名,或者客户端的根证书缺失。常见的解决办法包括禁用证书验证(不推荐)或安装必要的证书包。 根据用户提供的引用[^1],他们提到了安装pyopenssl、ndg-httpsclient和pyasn1。这几个库通常与处理SSL/TLS有关。PyOpenSSL是一个提供更多SSL功能的库,ndg-httpsclient可能涉及SNI支持,而pyasn1是处理ASN.1数据结构的库。安装这些可能帮助urllib3正确解析和处理证书。 接下来,我需要确认用户的环境是否正确安装了这些包。例如,在命令行中运行pip install pyopenssl ndg-httpsclient pyasn1应该安装它们。安装后,可能需要更新urllib3的证书捆绑包,或者设置SSL上下文来使用系统证书。 另外,用户提到的引用[^2]是关于找不到javac的错误,这可能和当前问题无关,但需要确认用户是否混淆了不同的问题。不过当前问题集中在SSL证书验证,所以可以暂时忽略这个引用。 另一个可能的解决方法是手动指定证书路径。例如,使用certifi库提供的证书包,然后在创建PoolManager时指定ca_certs参数。例如: import urllib3 http = urllib3.PoolManager( ca_certs=certifi.where() ) 这样确保urllib3使用最新的证书列表。 如果用户的环境确实缺少根证书,安装certifi并指向它的证书文件可能有效。所以可能需要建议用户安装certifi,并确保代码中引用了正确的证书路径。 总结可能的解决步骤: 1. 安装所需的SSL相关库。 2. 使用certifi的证书包。 3. 在代码中明确指定证书路径或禁用验证(不推荐)。 但禁用证书验证存在安全风险,应作为最后手段。因此,优先推荐安装必要库和正确配置证书。 需要检查用户是否已经安装了这些库,或者是否需要升级urllib3本身。如果urllib3版本过旧,可能也会导致证书问题,建议升级到最新版本。 最后,生成相关问题时应围绕SSL证书问题、urllib3的其他常见错误以及安全连接配置等方面。</think>针对Python中urllib3库出现的SSL证书验证错误,以下是分步解决方案: --- ### **解决方法** 1. **安装必要的SSL依赖库** 在终端中执行以下命令,安装增强SSL支持的库: ```bash pip install pyopenssl ndg-httpsclient pyasn1 ``` 这些库提供对SNI(Server Name Indication)和ASN.1解析的支持,帮助urllib3正确处理SSL证书。 2. **安装并配置证书包** 安装`certifi`库以获取最新的CA证书包: ```bash pip install certifi ``` 在代码中显式指定证书路径: ```python import urllib3 import certifi http = urllib3.PoolManager( ca_certs=certifi.where() # 使用certifi提供的证书 ) response = http.request("GET", "https://example.com") ``` 3. **临时禁用证书验证(不推荐)** 若仅用于测试环境,可临时禁用证书验证: ```python http = urllib3.PoolManager(cert_reqs='CERT_NONE') ``` ⚠️ 此方法会降低安全性,生产环境禁止使用。 --- ### **问题根源分析** SSL证书验证失败通常由以下原因导致: - **系统根证书缺失或过时** 使用`certifi`更新证书链。 - **服务器证书无效或自签名** 需手动添加服务器证书到信任列表。 - **SNI支持缺失** 安装`pyopenssl`和`ndg-httpsclient`以启用SNI。 ---
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值