从客户端检测到潜在危险的Request.Form值

每当用户在我的web应用程序中的页面中发布包含<或>的内容时，我都会引发此异常。

我不想因为有人在文本框中输入了字符而引发异常或使整个web应用程序崩溃，但我正在寻找一种优雅的方式来处理这一问题。

捕获异常并显示

出现错误，请返回并重新键入整个表单，但这次请不要使用<

我觉得不够专业。

禁用后验证（validateRequest=“false”）肯定可以避免此错误，但这会使页面容易受到许多攻击。

理想情况下：当发生包含HTML限制字符的回发时，表单集合中的回发值将自动进行HTML编码。因此，我的文本框的.Text属性将是&lt；html&gt；

有没有办法让我从处理者那里做到这一点？

当前回答

这个问题的答案很简单：

var varname = Request.Unvalidated["parameter_name"];

这将禁用特定请求的验证。

2013-04-25 20:56:17

其他回答

我看到有很多关于这个的文章。。。我没有看到这一点。自.NET Framework 4.5以来，此功能一直可用

控件的ValidateRequestMode设置是一个很好的选项。这样，页面上的其他控件仍受保护。不需要更改web.config。

 protected void Page_Load(object sender, EventArgs e)
 {
     txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
 }

2018-03-30 14:06:40

我想你可以在一个模块中完成；但这留下了一些问题；如果您想将输入保存到数据库中怎么办？突然间，由于您正在将编码数据保存到数据库中，您最终会信任来自数据库的输入，这可能是一个坏主意。理想情况下，您将原始未编码数据存储在数据库中，并每次进行编码。

在每页级别禁用保护，然后每次编码是更好的选择。

与其使用Server.HtmlEncode，不如看看Microsoft ACE团队提供的更新、更完整的反XSS库。

2008-09-17 11:26:53

如果您使用的是ASP.NET MVC，则此错误有一种不同的解决方案：

ASP.NET MVC–pages validateRequest=false不起作用？为什么ValidateInput（False）不工作？ASP.NET MVC RC1，VALIDATEINPUT，一个潜在的危险请求和陷阱

C#示例：

[HttpPost, ValidateInput(false)]
public ActionResult Edit(FormCollection collection)
{
    // ...
}

Visual Basic示例：

<AcceptVerbs(HttpVerbs.Post), ValidateInput(False)> _
Function Edit(ByVal collection As FormCollection) As ActionResult
    ...
End Function

2009-10-08 22:56:30

在ASP.NET中，您可以捕获异常并采取措施，例如显示友好消息或重定向到另一个页面。。。此外，您还可以自行处理验证。。。

显示友好消息：

protected override void OnError(EventArgs e)
{
    base.OnError(e);
    var ex = Server.GetLastError().GetBaseException();
    if (ex is System.Web.HttpRequestValidationException)
    {
        Response.Clear();
        Response.Write("Invalid characters."); //  Response.Write(HttpUtility.HtmlEncode(ex.Message));
        Response.StatusCode = 200;
        Response.End();
    }
}

2012-07-17 20:19:11

您可以在自定义模型活页夹中自动对字段进行HTML编码。我的解决方案有些不同，我将错误放在ModelState中，并在字段附近显示错误消息。很容易修改此代码以自动编码

 public class AppModelBinder : DefaultModelBinder
    {
        protected override object CreateModel(ControllerContext controllerContext, ModelBindingContext bindingContext, Type modelType)
        {
            try
            {
                return base.CreateModel(controllerContext, bindingContext, modelType);
            }
            catch (HttpRequestValidationException e)
            {
                HandleHttpRequestValidationException(bindingContext, e);
                return null; // Encode here
            }
        }
        protected override object GetPropertyValue(ControllerContext controllerContext, ModelBindingContext bindingContext,
            PropertyDescriptor propertyDescriptor, IModelBinder propertyBinder)
        {
            try
            {
                return base.GetPropertyValue(controllerContext, bindingContext, propertyDescriptor, propertyBinder);
            }
            catch (HttpRequestValidationException e)
            {
                HandleHttpRequestValidationException(bindingContext, e);
                return null; // Encode here
            }
        }

        protected void HandleHttpRequestValidationException(ModelBindingContext bindingContext, HttpRequestValidationException ex)
        {
            var valueProviderCollection = bindingContext.ValueProvider as ValueProviderCollection;
            if (valueProviderCollection != null)
            {
                ValueProviderResult valueProviderResult = valueProviderCollection.GetValue(bindingContext.ModelName, skipValidation: true);
                bindingContext.ModelState.SetModelValue(bindingContext.ModelName, valueProviderResult);
            }

            string errorMessage = string.Format(CultureInfo.CurrentCulture, "{0} contains invalid symbols: <, &",
                     bindingContext.ModelMetadata.DisplayName);

            bindingContext.ModelState.AddModelError(bindingContext.ModelName, errorMessage);
        }
    }

在应用程序启动中：

ModelBinders.Binders.DefaultBinder = new AppModelBinder();

请注意，它仅适用于表单字段。危险值未传递到控制器模型，但存储在ModelState中，可以在表单上重新显示错误消息。

URL中的危险字符可以这样处理：

private void Application_Error(object sender, EventArgs e)
{
    Exception exception = Server.GetLastError();
    HttpContext httpContext = HttpContext.Current;

    HttpException httpException = exception as HttpException;
    if (httpException != null)
    {
        RouteData routeData = new RouteData();
        routeData.Values.Add("controller", "Error");
        var httpCode = httpException.GetHttpCode();
        switch (httpCode)
        {
            case (int)HttpStatusCode.BadRequest /* 400 */:
                if (httpException.Message.Contains("Request.Path"))
                {
                    httpContext.Response.Clear();
                    RequestContext requestContext = new RequestContext(new HttpContextWrapper(Context), routeData);
                    requestContext.RouteData.Values["action"] ="InvalidUrl";
                    requestContext.RouteData.Values["controller"] ="Error";
                    IControllerFactory factory = ControllerBuilder.Current.GetControllerFactory();
                    IController controller = factory.CreateController(requestContext, "Error");
                    controller.Execute(requestContext);
                    httpContext.Server.ClearError();
                    Response.StatusCode = (int)HttpStatusCode.BadRequest /* 400 */;
                }
                break;
        }
    }
}

错误控制器：

public class ErrorController : Controller
 {
   public ActionResult InvalidUrl()
   {
      return View();
   }
}

2016-02-25 08:17:06

从客户端检测到潜在危险的Request.Form值

推荐文章

最新文章

标签