.NET Framework 4.0-RequestValidationMode

最新推荐文章于 2022-03-15 15:33:25 发布
转载 最新推荐文章于 2022-03-15 15:33:25 发布 · 168 阅读 · 0
文章标签:

#测试

本文详细介绍了ASP.NET 4.0中引入的requestValidationMode特性及其对请求验证的影响,包括如何通过配置web.config文件来调整验证模式以解决安全问题,并提供了一个自定义请求验证类的示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.WebForm

先看如下 web.config 的代码:

<system.web> 
    <compilation debug="true" targetFramework="4.0"/> 
    <httpRuntime requestValidationMode="2.0" /> 
    <pages validateRequest="false"></pages> 
</system.web>

validateRequest 这句我们知道是关闭验证,也就是说提交带标签,比如 <strong>粗体</strong> 这样的值时,ASP.NET 不会报错。

但在 4.0 中还多了一个 requestValidationMode,这是什么意思呢?

requestValidationMode 有两个值:

  • 2.0仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
  • 4.0 默认值。任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。

由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。

 

ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他紧紧应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。

上述原因引发的最终结果就是在ASP.NET4中会引发请求错误,例如检测到有潜在危险的Request.Form值等等,为了解决这个问题,可以通过将验证模式设置为ASP.NET之前的版本。具体步骤是在web.config中加入以下配置:

<httpRuntime requestValidationMode=”2.0″ />

设置了请求模式后,再设置

<system.web>
<pages validaterequest=”false”/>
</system.web>

 

2.MVC框架中,在控制方法前加入:

[ValidateInput(false)]属性。

那么就可以禁止请求验证了。但是这会引发安全问题,对安全问题的讨论请看这里:点击这里查看

另外还有一种方法就是实现自己的请求验证类,首先需要在web.config中指定请求验证类类型:

<httpRuntime requestValidationType=”Globals.CustomRequestValidation”/>

然后实现自己的请求验证类,这个类必须从RequestValidator类中继承,具体代码如下:

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Util;
namespace Globals
{
/// <summary>
/// Summary description for CustomRequestValidation
/// </summary>
public class CustomRequestValidation : RequestValidator
{
public CustomRequestValidation() { }
protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, outint validationFailureIndex)
{
//block script tags
var idx = value.ToLower().IndexOf(“<script”);
if (idx > -1)
{
validationFailureIndex = idx;
return false;
}
else
{
validationFailureIndex = 0;
return true;
}
}
}
}

IsValidRequestString函数返回true则验证通过,否则验证失败,还会出现文章开头所说的错误消息。

此请求验证类当检测到<script>标签时就会出现错误,防止脚本注入攻击等等。

 

基于.Net平台开发的网页版实时聊天程序
u011846750的博客
10-20 6429
空闲时间博主自己弄了个还算有趣的小玩意儿,是一个在线聊天的网站,先不多说,看看效果图。 用户在姓名栏输入自己的姓名(因为没有做注册的页面,所以姓名是自己输入的),内容的话在编译器的方框里面输入,可以输入表情,图片,包括插入百度地图等等,如标题 为什么说实时聊天,因为如果同一时间有其他用户在发布聊天信息,那么网站会把该内容给刷新出来,而不需要刷新页面。 如果熟悉jQuery的朋
asp.net mvc 过滤XSS跨站脚本攻击
冻死的企鹅
08-12 1219
asp.net mvc 过滤跨站点脚本攻击拦截器 using System; using System.Collections.Generic; using System.Configuration; using System.Linq; using System.Text.RegularExpressions; using System.Web; namespace Org.Core.Commons { /// /// http访问拦截器模块 /// 1.过滤危险关键词 /// 2.增加安全Header
Web Service 部署到服务器 无法识别的属性“requestValidationMode”。
weixin_41849935的博客
05-16 1053
服务器iis 应用程序池 system.web 标签中增加 <compilation debug="true" targetFramework="4.0" />
asp.net 360通用防护代码,防止sql注入与xss跨站漏洞攻击
lisky119的专栏
10-12 5537
这是360提供的一个aspx公用代码,可以防止sql注入漏洞,xss跨站攻击漏洞,如果您的网站被360扫描,出现sql注入或跨站攻击等相关漏洞,没有较好的解决方案,倒是可以采用该方法进下防范。 -----------------使用方法------------------- 1.将App_Code目录拷贝到web根目录 假如已经存在App_Code目录,那直接把App_Code目
asp.net中“从客户端中检测到有潜在危险的Request.Form值”错误的解决办法
10-23
通过这种方式,即使在.NET Framework 4.0中,也可以将请求验证机制设置为类似2.0版本的行为。 通过上述方法,可以针对不同的.NET框架版本关闭请求验证机制,从而允许提交包含HTML标签的内容。但是需要注意的是,...
有潜在危险的 Request.Form 值避免方法
10-26
设置`requestValidationMode`为"2.0"意味着在.NET Framework 4.0中,请求验证将使用更早版本的验证模式,即在HTTP请求的`BeginRequest`事件之前就开始验证。这与.NET 4.5之后引入的验证模式不同,后者将验证推迟到更...
ASP.NET检测到不安全 Request.Form 值解决方案汇总.docx
01-14
2. **基于 Framework 4.0 WebForm 的网站** 对于这个版本,除了在页面中设置`ValidateRequest="false"`,还需要在`web.config`文件中修改`requestValidationMode`属性。在`<system.web>`节点下添加或更新: ```xml...
<?xml version="1.0" encoding="utf-8"?> <!-- 有关如何配置 ASP.NET 应用程序的详细信息,请访问 https://go.microsoft.com/fwlink/?LinkId=169433 --> <configuration> <connectionStrings> <add name="DB-NetShopsConnectionString" connectionString="Data Source=.\MSSQLSERVER2012;Initial Catalog=DB-NetShops;User ID=sa;Password=your_password;Integrated Security=False" providerName="System.Data.SqlClient" /> </connectionStrings> <system.web> <!-- 添加全局cookie设置 --> <httpCookies httpOnlyCookies="true" /> <compilation debug="true" targetFramework="4.7.2" /> <httpRuntime targetFramework="4.7.2" maxRequestLength="20480" executionTimeout="300" requestValidationMode="4.7.2" /> <!-- 移除httpOnlyCookies属性 --> <sessionState mode="InProc" timeout="20" /> <authentication mode="Forms"> <!-- 移除httpOnlyCookies属性 --> <forms loginUrl="~/WebForm1.aspx" defaultUrl="~/WebForm2.aspx" timeout="20" /> </authentication> <globalization culture="zh-CN" uiCulture="zh-CN" requestEncoding="utf-8" responseEncoding="utf-8" /> <customErrors mode="RemoteOnly" defaultRedirect="~/Error.aspx"> <error statusCode="404" redirect="~/404.aspx" /> <error statusCode="500" redirect="~/500.aspx" /> </customErrors> <pages masterPageFile="~/Site.master"> <controls> <add tagPrefix="asp" namespace="System.Web.UI" assembly="System.Web.Extensions, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> </controls> </pages> </system.web> <system.webServer> <httpProtocol> <customHeaders> <add name="X-Content-Type-Options" value="nosniff" /> <add name="X-Frame-Options" value="SAMEORIGIN" /> <add name="X-Xss-Protection" value="1; mode=block" /> </customHeaders> </httpProtocol> <staticContent> <clientCache cacheControlMode="UseMaxAge" cacheControlMaxAge="7.00:00:00" /> </staticContent> <security> <requestFiltering> <requestLimits maxAllowedContentLength="20971520" /> </requestFiltering> </security> </system.webServer> <system.codedom> <compilers> <compiler language="c#;cs;csharp" extension=".cs" type="Microsoft.CodeDom.Providers.DotNetCompilerPlatform.CSharpCodeProvider, Microsoft.CodeDom.Providers.DotNetCompilerPlatform, Version=2.0.1.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35" warningLevel="4" compilerOptions="/langversion:default /nowarn:1659;1699;1701" /> </compilers> </system.codedom> </configuration> 添加母版页代码设置,生成完整webconfig代码
最新发布
06-12
assembly="System.Web.Extensions, Version=4.0.0.0, Culture=neutral, PublicKeyToken=31bf3856ad364e35"/> <!-- 自定义控件注册 --> ~/Controls/Notification.ascx"/> <!-- 命名空间引用 --> ...
UEditor在.NET中的应用
mituan1234567的专栏
04-11 1266
http://www.yourannet.com/net-2/ueditor-net-apply 嵌入页面基本设置如下: UEditor在.NET中的使用 UEditor在.NET的应用   var
从客户端(XXX)中检测到有潜在危险的Request.Form 值
天地不仁,以万物为刍狗!
05-31 5527
aspx 页面出现 [HttpRequestValidationException (0x80004005): 从客户端(TextBox1="中检测到有潜在危险的 Request.Form 值。   解决办法: 1 2.修改web.config文件: 3.要设置web.config中httpRuntime 配置节中的 requestVa
ASP.NET MVC 页面使用富文本控件的XSS漏洞问题
weixin_33796177的博客
04-07 250
目前在做的项目存在XSS安全漏洞! 原因是有一些页面使用了富文本编辑框,为了使得其内容可以提交,为相关action设置了[ValidateInput(false)] 特性: [HttpPost] [ValidateInput(false)] public ActionResult MailPreview(FormColle...
解决ASP.NET的“A potentially dangerous Request... value was detected”
MiNG 的专栏
09-04 3006
最近做一个简单的web项目(.NET Framework 3.5),自定义了一个handler(类似Java内的Servlet),本地开发环境(VS2012)测试没有问题,发布到服务器的IIS就出错了,访问handler映射地址时出现如下提示: A potentially dangerous Request.QueryString value was detected from the clie
ASP.NET(C#)后台安全登陆代码(防XSS攻击\万能密码漏洞)
yanzhibo的专栏IlgawME)Y*Ml
02-22 9310
string ispostback = Context.Request["ispostbask"]; string k8user = this.txtUser.Text.Trim(); string k8pwd = this.txtPwd.Text.Trim(); string k8md5pwd = FormsAuthentication.HashP
IIS Webservice客户端中检测到有潜在危险的Request.Form值的解决办法
长安诗社社长@-梁瀚文- https://github.com/HevnChin https://gitee.com/HevnChin
03-15 1810
果你网站iis服务器asp.net采用了4.0的版本,则默认会阻止客户端的html内容提交,提交后则会出现:从客户端(....)中检测到有潜在危险的 Request.Form 值...的错误提示。 解决办法: 用计事本打开web.config文件,找到下面这句 <httpRuntime maxRequestLength="10240" executionTimeout="60" /> 在httpRuntime节点中增加一个requestValidationMode="2.0"的声明...
Asp.net Mvc中利用ValidationAttribute实现xss过滤
djk2045的博客
04-16 427
在网站开发中,需要注意的一个问题就是防范XSS攻击,Asp.net mvc中已经自动为我们提供了这个功能。用户提交数据时时,在生成Action参数的过程中asp.net会对用户提交的数据进行验证,一旦发现提交的数据中包含了XSS攻击的代码,就会抛出异常,用户在这时候就会看到一个出错页面。这种默认的行为保证了网站的安全性,但是对于用户体验来说却不够友好,所以大多数人都希望对...
.NET Framework 4.0 安装教程与下载
.NET Framework 4.0 是由微软开发并发布的一款软件框架,主要面向Windows操作系统,用于运行构建在.NET Framework之上的应用程序。.NET Framework 4.0 包含了一系列类库、API(应用程序编程接口)、运行时环境和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值