zoukankan      html  css  js  c++  java
  • .NET Framework 4.0-RequestValidationMode

    1.WebForm

    先看如下 web.config 的代码:

    <system.web> 
        <compilation debug="true" targetFramework="4.0"/> 
        <httpRuntime requestValidationMode="2.0" /> 
        <pages validateRequest="false"></pages> 
    </system.web>

    validateRequest 这句我们知道是关闭验证,也就是说提交带标签,比如 <strong>粗体</strong> 这样的值时,ASP.NET 不会报错。

    但在 4.0 中还多了一个 requestValidationMode,这是什么意思呢?

    requestValidationMode 有两个值:

    • 2.0仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
    • 4.0 默认值。任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。

    由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。

    ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他紧紧应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

    而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。

    上述原因引发的最终结果就是在ASP.NET4中会引发请求错误,例如检测到有潜在危险的Request.Form值等等,为了解决这个问题,可以通过将验证模式设置为ASP.NET之前的版本。具体步骤是在web.config中加入以下配置:

    <httpRuntime requestValidationMode=”2.0″ />

    设置了请求模式后,再设置

    <system.web>
    <pages validaterequest=”false”/>
    </system.web>

    2.MVC框架中,在控制方法前加入:

    [ValidateInput(false)]属性。

    那么就可以禁止请求验证了。但是这会引发安全问题,对安全问题的讨论请看这里:点击这里查看

    另外还有一种方法就是实现自己的请求验证类,首先需要在web.config中指定请求验证类类型:

    <httpRuntime requestValidationType=”Globals.CustomRequestValidation”/>

    然后实现自己的请求验证类,这个类必须从RequestValidator类中继承,具体代码如下:

    using System;
    using System.Collections.Generic;
    using System.Linq;
    using System.Web;
    using System.Web.Util;
    namespace Globals
    {
    /// <summary>
    /// Summary description for CustomRequestValidation
    /// </summary>
    public class CustomRequestValidation : RequestValidator
    {
    public CustomRequestValidation() { }
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, outint validationFailureIndex)
    {
    //block script tags
    var idx = value.ToLower().IndexOf(“<script”);
    if (idx > -1)
    {
    validationFailureIndex = idx;
    return false;
    }
    else
    {
    validationFailureIndex = 0;
    return true;
    }
    }
    }
    }

    IsValidRequestString函数返回true则验证通过,否则验证失败,还会出现文章开头所说的错误消息。

    此请求验证类当检测到<script>标签时就会出现错误,防止脚本注入攻击等等。

  • 相关阅读:
    WPF中Auto与*的区别
    在XAML网格中RowDefinition High=“10*”
    WPF语言中Grid布局
    C# 解压缩文件
    WPF Visibility的用法
    Inno setup Compiler 安装程序
    征战蓝桥 —— 2014年第五届 —— C/C++A组第1题——猜年龄
    信息学奥赛一本通(C++)在线评测系统——基础(一)C++语言——1082:求小数的某一位
    信息学奥赛一本通(C++)在线评测系统——基础(一)C++语言——1082:求小数的某一位
    信息学奥赛一本通(C++)在线评测系统——基础(一)C++语言——1082:求小数的某一位
  • 原文地址:https://www.cnblogs.com/tianma3798/p/4147977.html
Copyright © 2011-2022 走看看