zoukankan      html  css  js  c++  java
  • ASP.NET 4.0请求验证

    在客户端文本框中输入HTML标签等危险内容点提交,会出现脚本错误:

    消息: Sys.WebForms.PageRequestManagerParserErrorException: 未能分析从服务器收到的消息。

    修改方法如下:

    <system.web>
        <httpRuntime requestValidationMode="2.0" />
        <pages validateRequest="false"></pages>
    </system.web>

    深入:

    validateRequest=“false”是关闭验证

    但在 4.0 中还多了一个 requestValidationMode,这是什么意思呢?

    requestValidationMode 有两个值:

    • 2.0 仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
    • 4.0 默认值。任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。

    由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。

    ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他仅仅应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

    而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。

    更多:

    如果开启验证,仍然可以在服务器端捕获HttpRequestValidationException异常并加以处理(未验证)

        protected void Page_Error(object sender, EventArgs e)
        {
            Exception ex = Server.GetLastError();
            if (ex is HttpRequestValidationException)
            {
                //处理异常
                Server.ClearError();
            }
        }
  • 相关阅读:
    【YbtOJ#20238】最优路线
    【洛谷P3247】最小公倍数
    【洛谷P3261】城池攻占
    【YbtOJ#20236】红点蓝点
    【YbtOJ#20235】公共序列
    Wing IDE 4.1使用笔记一修正一下框框字体显示不了中文
    飘逸的python
    The 12th tip of DB Query Analyzer, powerful in text file process
    PHP网站如何解决大流量与高并发的问题
    【python】利用sftp及rsa密匙实现远程拷贝文件
  • 原文地址:https://www.cnblogs.com/sohobloo/p/2711219.html
Copyright © 2011-2022 走看看