每当用户在我的web应用程序中的页面中发布包含<或>的内容时,我都会引发此异常。
我不想因为有人在文本框中输入了字符而引发异常或使整个web应用程序崩溃,但我正在寻找一种优雅的方式来处理这一问题。
捕获异常并显示
出现错误,请返回并重新键入整个表单,但这次请不要使用<
我觉得不够专业。
禁用后验证(validateRequest=“false”)肯定可以避免此错误,但这会使页面容易受到许多攻击。
理想情况下:当发生包含HTML限制字符的回发时,表单集合中的回发值将自动进行HTML编码。因此,我的文本框的.Text属性将是<;html>;
有没有办法让我从处理者那里做到这一点?
当前回答
即使在将<httpRuntime requestValidationMode=“2.0”>添加到web.config之后,我仍然在使用WIF进行身份验证的应用程序中收到错误。为我解决的是在<system.web>元素中添加<sessionState mode=“InProc”cookieless=“UseUri”/>。
其他回答
我看到有很多关于这个的文章。。。我没有看到这一点。自.NET Framework 4.5以来,此功能一直可用
控件的ValidateRequestMode设置是一个很好的选项。这样,页面上的其他控件仍受保护。不需要更改web.config。
protected void Page_Load(object sender, EventArgs e)
{
txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
}
这个问题的答案很简单:
var varname = Request.Unvalidated["parameter_name"];
这将禁用特定请求的验证。
您可以对文本框内容进行HTML编码,但不幸的是,这并不能阻止异常的发生。根据我的经验,没有办法,您必须禁用页面验证。你这样做是在说:“我会小心的,我保证。”
我想你可以在一个模块中完成;但这留下了一些问题;如果您想将输入保存到数据库中怎么办?突然间,由于您正在将编码数据保存到数据库中,您最终会信任来自数据库的输入,这可能是一个坏主意。理想情况下,您将原始未编码数据存储在数据库中,并每次进行编码。
在每页级别禁用保护,然后每次编码是更好的选择。
与其使用Server.HtmlEncode,不如看看Microsoft ACE团队提供的更新、更完整的反XSS库。
如果您使用的是.NET 4.0,请确保将其添加到<system.web>标记内的web.config文件中:
<httpRuntime requestValidationMode="2.0" />
在.NET 2.0中,请求验证仅适用于aspx请求。在.NET 4.0中,它被扩展为包括所有请求。通过指定以下内容,可以恢复为仅在处理.aspx时执行XSS验证:
requestValidationMode="2.0"
您可以通过指定以下内容完全禁用请求验证:
validateRequest="false"
