本文详细介绍了在使用Xheditor提交文章时遇到的XSS注入攻击问题,通过加入[HttpPost]和[ValidateInput(false)]属性解决客户端输入安全问题,并在web.config中调整requestValidationMode为2.0,最终成功读取转化后的所有内容。
xmfdsh在使用xheditor提交要发布的文章等内容的时候出现了如下的错误:
从客户端(Content="<p style="text-align...")中检测到有潜在危险的 Request.Form 值。
这个明显的是mvc的自己检查机制在防止XSS的注入攻击,好,看下xmfdsh是如何解决的
[HttpPost] [ValidateInput(false)] public ActionResult Index(FormCollection form) { string content = Request.Form["Content"]; return View(); }
这个是MVC的解决方法,所以web form的可以绕道了,如上的代码中加入了[ValidateInput(false)]这个属性,到这里,可以尝试一下问题是否解决,就xmfdsh的网站而言,这样还不行,还需要在web.config的<system.web>的标签中中加上如下标记
<system.web>
<httpRuntime requestValidationMode="2.0" />
</system.wenb>
ok,再试一下,没问题,调试的时候成功在string content中读到了所有的转化后的内容
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
