ASP.NET 页面中的 ValidateRequest属性

最新推荐文章于 2019-07-25 07:41:13 发布
最新推荐文章于 2019-07-25 07:41:13 发布
阅读量77 收藏
点赞数
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/chenxizhang/archive/2010/02/28/1675260.html
本文介绍ValidateRequest属性的作用,即在ASP.NET中通过预定义的危险值列表检查输入数据以防止跨站脚本攻击等安全风险。同时讨论了如何在配置文件中启用或禁用此功能及其与其他安全设置的关系。

ValidateRequest

指示是否应发生请求验证。如果为 true,请求验证将根据具有潜在危险的值的硬编码列表检查所有输入数据。如果出现匹配情况,将引发 HttpRequestValidationException 异常。默认值为 true。

该功能在计算机配置文件 (Machine.config) 中启用。可以在应用程序配置文件 (Web.config) 中或在页上将该属性设置为 false 来禁用该功能。

注意:

该功能有助于减少对简单页或 ASP.NET 应用程序进行跨站点脚本攻击的风险。如果应用程序不能正确验证用户输入,则可能会受到多种类型的格式错误的输入的攻击,包括跨站点脚本攻击和 Microsoft SQL Server 注入式攻击。应该仔细地评估应用程序中所有形式的输入,并确保对它们进行了正确地验证和编码,或者确保应用程序在处理数据或将信息发送回客户端之前已退出。除此之外,别无它法。

 

这个属性如果设置为false,就需要同时把enableViewStateMac设置为false,否则会出现验证问题

转载于:https://www.cnblogs.com/chenxizhang/archive/2010/02/28/1675260.html

ASP.NET检测到不安全 Request.Form 值解决方案汇总
10-24
最简单的情况是在使用富文本编辑器的页面顶部Page指令中设置ValidateRequest="false"。这样做可以让***忽略对当前页面输入内容的验证。但是,这种方法可能会带来安全风险,因为它降低了服务器的安全性,使得潜在的跨...
ASP.NET从客户端中检测到有潜在危险的request.form值的3种解决方法
10-24
在***页面的头部,可以通过设置Page指令中的ValidateRequest属性为"false",来禁止页面级别的输入验证。这样,该页面提交的数据就不会被验证。示例代码如下: ```asp <%@Page Language="C#" ValidateRequest="false...
请慎用ASP.NetvalidateRequest="false"
郑成的博客
06-25 545
      ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: 以下是引用片段:Server Error in /Your
ASP.net中的validaterequest
weixin_34314962的博客
11-21 235
这个属性是用来验证客户端用户的输入的,用来验证用户的输入中是否有危险字符的,这个属性的默认值为true,微软之所以这么做是为了提高asp.net程序的安全性,所以很多程序员即使不知道怎么来防御黑客的攻击,asp.net的一些默认属性等内容已经对安全进行了控制,这也是为什么asp.net的程序相对来说比较安全的原因!  既然这个属性的默认值为true,而且asp.net页面的回发又很频繁,那么如果没...
利用asp.netvalidateRequest特性
weixin_30741653的博客
04-20 132
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用<xxxx>之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面: 希望很好的处理这个错误信息,而不使用默认ASP.Net异常报错信息,我们可以这样做。 ...
关于ASP.NetvalidateRequest=false(验证请求)
wqhtiger的专栏
02-05 819
ASP.NetvalidateRequest=false       validateRequest="false"   指是否要IIS验证页面提交的非法字符,比如:>,    ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpReques
asp.net 从客户端中检测到有潜在危险的 Request.Form 值错误解
10-29
.aspx页面的指令部分中,可以通过设置validateRequest属性为“false”来禁用请求验证。例如: ```asp <%@ Page validateRequest="false" language="c#" Codebehind="WriteNews.aspx.cs" AutoEventWireup="false" ...
asp.net中“从客户端中检测到有潜在危险的Request.Form值”错误的解决办法
10-23
1. 可以通过在页面指令中设置ValidateRequest属性为“false”来关闭请求验证。这需要在.aspx文件的页面指令中添加validateRequest="false"。 示例: `...
ASP.NET页面生命周期事件
04-04
ASP.NET页面生命周期事件是开发基于ASP.NET Web应用程序时必须理解的关键概念。页面生命周期是指从用户在浏览器中请求一个页面开始,直到服务器响应并返回页面到客户端的整个过程。在这个过程中,页面及其上的控件会...
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证
WebMatersl的专栏
05-01 5673
通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证 说明:   请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在   Page   指令或   配置节中设置   validateRequest=false   可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检
ValidateRequest 属性
Steven的专栏
10-17 4046
                在 ASP.NET 1.1 中,@Page 指令上的 ValidateRequest 属性被打开后,将检查以确定用户没有在查询字符串、Cookie 或表单域中发送有潜在危险性的 HTML 标记。如果检测到这种情况,将引发异常并中止该请求。该属性默认情况下是打开的;您无需进行任何操作就可以得到保护。如果您想允许 HTML 标记通过,必须主动禁用该属性。  Valida
警告:为了安全请不要随意将ASP.NetvalidateRequest="false
心语家园 - www.xinyucn.cc
11-03 289
Quote:ASP.Net1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用&lt;xxxx&gt;之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面:Server Error in '/YourApplicationP...
ValidateRequest
pmandy的专栏
11-15 188
指示是否应发生请求验证。如果为true,请求验证将根据具有潜在危险的值的硬编码列表检查所有输入数据。默认值为 true。 如果希望用户输入HTML代码,请设置为false 。 注意:在ASP.NET 2.0中不验证ashx请求,但是ASP.NET 4.0默认会验证, 如果希望在4.0中兼容2.0的行为,请在web.config中配置 ...
validateRequest="false"属性及xss攻击
weixin_33701294的博客
05-28 264
validateRequest="false"   指是否要IIS验证页面提交的非法字符,比如:&gt;,&lt;号等,当我们需要将一定格式得html代码获得,插入数据库时候,就要将这个属性设置为false,例如你将字体加粗等操作时。 这是ASP.Net提供的一个很重要的安全特性。因为很多程序员对安全没有概念,甚至都不知道XSS这种攻击的存在,知道主动去防护的就更少了。ASP.Net...
请慎用ASP.NetvalidateRequest="false"属性
weixin_33686714的博客
05-16 222
阅读全文下载代码:http://www.cckan.net/forum.php?mod=viewthread&amp;tid=74 在客户端的文体框里输入“&lt;任何字符&gt;例如&lt;user&gt;”等字符的时候为出现这样的错误 序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,...
关于.netValidateRequest=false失效
weixin_30399821的博客
07-25 170
ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest="false"。或者在MVC中,我们可以通过在Controller或者Action上设置[V...
ASP.NET中防止注入攻击[翻译]
weixin_33813128的博客
03-29 196
出处: MSDN 原文地址 应用范围: ASP.NET vertion 1.1 ASP.NET vertion 2.0   概要: 文本主要介绍如何校验用户输入从而防止注入式攻击.校验用户输入是非常必要的,几乎所有程序级的攻击都包含恶意输入的手段. 你应该校验包括字段,查询字串参数,Cookie等一切用户输入项来保护你的程序免受注入攻击.你得假设所有的用户输入都是恶意的,确保在服...
.net 4.0 ValidateRequest="false" 报错的解决方案
weixin_34220834的博客
09-09 158
当你在安装了.NET Framework 4.0以上版本后,当你的应用程序以.NET Framework 4.0为框架版本,你的任意服务器请求,都将被进行服务器请求验证(ValidationRequest),这不仅包括ASP.NET,同时也包括Web Services等各种HTTP请求,不仅仅针对aspx页面,也针对HTTP Handler,HTTP Module等,因为这个验证(Valify)的...
ASP.NET页面生命周期详解
"ASP.NET页面生命周期是开发者理解和控制网页行为的关键概念。页面生命周期包括一系列步骤,如初始化、状态恢复、事件处理和呈现等,每个阶段都伴随着特定的事件,允许开发者在合适的时间插入代码以执行所需的操作。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值