从客户端检测到潜在危险的Request.Form值

每当用户在我的web应用程序中的页面中发布包含<或>的内容时，我都会引发此异常。

我不想因为有人在文本框中输入了字符而引发异常或使整个web应用程序崩溃，但我正在寻找一种优雅的方式来处理这一问题。

捕获异常并显示

出现错误，请返回并重新键入整个表单，但这次请不要使用<

我觉得不够专业。

禁用后验证（validateRequest=“false”）肯定可以避免此错误，但这会使页面容易受到许多攻击。

理想情况下：当发生包含HTML限制字符的回发时，表单集合中的回发值将自动进行HTML编码。因此，我的文本框的.Text属性将是&lt；html&gt；

有没有办法让我从处理者那里做到这一点？

当前回答

只要这些字符只是“<”和“>”（而不是双引号本身），并且您在上下文中使用它们，例如＜input value＝“this”/>，您就安全了（而对于＜textarea＞这一个＜/textarea＞，您当然会受到攻击）。这可能会简化您的情况，但要做更多的事情，请使用其他发布的解决方案之一。

2008-09-17 11:28:22

其他回答

在ASP.NET中，您可以捕获异常并采取措施，例如显示友好消息或重定向到另一个页面。。。此外，您还可以自行处理验证。。。

显示友好消息：

protected override void OnError(EventArgs e)
{
    base.OnError(e);
    var ex = Server.GetLastError().GetBaseException();
    if (ex is System.Web.HttpRequestValidationException)
    {
        Response.Clear();
        Response.Write("Invalid characters."); //  Response.Write(HttpUtility.HtmlEncode(ex.Message));
        Response.StatusCode = 200;
        Response.End();
    }
}

2012-07-17 20:19:11

对于那些仍然停留在webforms上的人，我发现了以下解决方案，使您只能在一个字段上禁用验证！（我不想在整个页面上禁用它。）

VB.NET：

Public Class UnvalidatedTextBox
    Inherits TextBox
    Protected Overrides Function LoadPostData(postDataKey As String, postCollection As NameValueCollection) As Boolean
        Return MyBase.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form)
    End Function
End Class

C#:

public class UnvalidatedTextBox : TextBox
{
    protected override bool LoadPostData(string postDataKey, NameValueCollection postCollection)
    {
        return base.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form);
    }
}

现在只需使用<prefix:UnvalidatedTextBox id=“test”runat=“server”/>而不是<asp:TextBox，它应该允许所有字符（这非常适合密码字段！）

2017-01-16 14:48:57

最后但同样重要的是，请注意ASP.NET数据绑定控件在数据绑定期间自动编码值。这将更改ItemTemplate中包含的所有ASP.NET控件（TextBox、Label等）的默认行为。以下示例演示了（ValidateRequest设置为false）：

aspx

<%@ Page Language="C#" ValidateRequest="false" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="WebApplication17._Default" %> <html> <body>
    <form runat="server">
        <asp:FormView ID="FormView1" runat="server" ItemType="WebApplication17.S" SelectMethod="FormView1_GetItem">
            <ItemTemplate>
                <asp:TextBox ID="TextBox1" runat="server"></asp:TextBox>
                <asp:Button ID="Button1" runat="server" Text="Button" OnClick="Button1_Click" />
                <asp:Label ID="Label1" runat="server" Text="<%#: Item.Text %>"></asp:Label>
                <asp:TextBox ID="TextBox2" runat="server" Text="<%#: Item.Text %>"></asp:TextBox>
            </ItemTemplate>
        </asp:FormView>
    </form>

代码隐藏

public partial class _Default : Page
{
    S s = new S();

    protected void Button1_Click(object sender, EventArgs e)
    {
        s.Text = ((TextBox)FormView1.FindControl("TextBox1")).Text;
        FormView1.DataBind();
    }

    public S FormView1_GetItem(int? id)
    {
        return s;
    }
}

public class S
{
    public string Text { get; set; }
}

案例提交值：&#39；

标签1.文本值：&#39；

TextBox2.文本值：&amp#39;

案例提交值：＜script＞alert（'attack！'）</脚本>

标签1.文本值：＜script＞alert（'attack！'）</脚本>

TextBox2.文本值：&lt；脚本&gt；警报（&#39；攻击！&#39；）&lt/脚本&gt；

2018-01-27 20:10:44

尝试使用

服务器编码

and

Server.Html解码同时发送和接收。

2015-03-31 10:50:19