从客户端检测到潜在危险的Request.Form值

每当用户在我的web应用程序中的页面中发布包含<或>的内容时，我都会引发此异常。

我不想因为有人在文本框中输入了字符而引发异常或使整个web应用程序崩溃，但我正在寻找一种优雅的方式来处理这一问题。

捕获异常并显示

出现错误，请返回并重新键入整个表单，但这次请不要使用<

我觉得不够专业。

禁用后验证（validateRequest=“false”）肯定可以避免此错误，但这会使页面容易受到许多攻击。

理想情况下：当发生包含HTML限制字符的回发时，表单集合中的回发值将自动进行HTML编码。因此，我的文本框的.Text属性将是&lt；html&gt；

有没有办法让我从处理者那里做到这一点？

当前回答

我看到有很多关于这个的文章。。。我没有看到这一点。自.NET Framework 4.5以来，此功能一直可用

控件的ValidateRequestMode设置是一个很好的选项。这样，页面上的其他控件仍受保护。不需要更改web.config。

 protected void Page_Load(object sender, EventArgs e)
 {
     txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
 }

2018-03-30 14:06:40

其他回答

如果您使用的是ASP.NET MVC，则此错误有一种不同的解决方案：

ASP.NET MVC–pages validateRequest=false不起作用？为什么ValidateInput（False）不工作？ASP.NET MVC RC1，VALIDATEINPUT，一个潜在的危险请求和陷阱

C#示例：

[HttpPost, ValidateInput(false)]
public ActionResult Edit(FormCollection collection)
{
    // ...
}

Visual Basic示例：

<AcceptVerbs(HttpVerbs.Post), ValidateInput(False)> _
Function Edit(ByVal collection As FormCollection) As ActionResult
    ...
End Function

2009-10-08 22:56:30

只要这些字符只是“<”和“>”（而不是双引号本身），并且您在上下文中使用它们，例如＜input value＝“this”/>，您就安全了（而对于＜textarea＞这一个＜/textarea＞，您当然会受到攻击）。这可能会简化您的情况，但要做更多的事情，请使用其他发布的解决方案之一。

2008-09-17 11:28:22

您可以在自定义模型活页夹中自动对字段进行HTML编码。我的解决方案有些不同，我将错误放在ModelState中，并在字段附近显示错误消息。很容易修改此代码以自动编码

 public class AppModelBinder : DefaultModelBinder
    {
        protected override object CreateModel(ControllerContext controllerContext, ModelBindingContext bindingContext, Type modelType)
        {
            try
            {
                return base.CreateModel(controllerContext, bindingContext, modelType);
            }
            catch (HttpRequestValidationException e)
            {
                HandleHttpRequestValidationException(bindingContext, e);
                return null; // Encode here
            }
        }
        protected override object GetPropertyValue(ControllerContext controllerContext, ModelBindingContext bindingContext,
            PropertyDescriptor propertyDescriptor, IModelBinder propertyBinder)
        {
            try
            {
                return base.GetPropertyValue(controllerContext, bindingContext, propertyDescriptor, propertyBinder);
            }
            catch (HttpRequestValidationException e)
            {
                HandleHttpRequestValidationException(bindingContext, e);
                return null; // Encode here
            }
        }

        protected void HandleHttpRequestValidationException(ModelBindingContext bindingContext, HttpRequestValidationException ex)
        {
            var valueProviderCollection = bindingContext.ValueProvider as ValueProviderCollection;
            if (valueProviderCollection != null)
            {
                ValueProviderResult valueProviderResult = valueProviderCollection.GetValue(bindingContext.ModelName, skipValidation: true);
                bindingContext.ModelState.SetModelValue(bindingContext.ModelName, valueProviderResult);
            }

            string errorMessage = string.Format(CultureInfo.CurrentCulture, "{0} contains invalid symbols: <, &",
                     bindingContext.ModelMetadata.DisplayName);

            bindingContext.ModelState.AddModelError(bindingContext.ModelName, errorMessage);
        }
    }

在应用程序启动中：

ModelBinders.Binders.DefaultBinder = new AppModelBinder();

请注意，它仅适用于表单字段。危险值未传递到控制器模型，但存储在ModelState中，可以在表单上重新显示错误消息。

URL中的危险字符可以这样处理：

private void Application_Error(object sender, EventArgs e)
{
    Exception exception = Server.GetLastError();
    HttpContext httpContext = HttpContext.Current;

    HttpException httpException = exception as HttpException;
    if (httpException != null)
    {
        RouteData routeData = new RouteData();
        routeData.Values.Add("controller", "Error");
        var httpCode = httpException.GetHttpCode();
        switch (httpCode)
        {
            case (int)HttpStatusCode.BadRequest /* 400 */:
                if (httpException.Message.Contains("Request.Path"))
                {
                    httpContext.Response.Clear();
                    RequestContext requestContext = new RequestContext(new HttpContextWrapper(Context), routeData);
                    requestContext.RouteData.Values["action"] ="InvalidUrl";
                    requestContext.RouteData.Values["controller"] ="Error";
                    IControllerFactory factory = ControllerBuilder.Current.GetControllerFactory();
                    IController controller = factory.CreateController(requestContext, "Error");
                    controller.Execute(requestContext);
                    httpContext.Server.ClearError();
                    Response.StatusCode = (int)HttpStatusCode.BadRequest /* 400 */;
                }
                break;
        }
    }
}

错误控制器：

public class ErrorController : Controller
 {
   public ActionResult InvalidUrl()
   {
      return View();
   }
}

2016-02-25 08:17:06

如果你只是想告诉你的用户不使用<和>，但是，你不希望在手写之前处理/返回整个表单（并丢失所有输入），你能简单地在字段周围放置一个验证器来筛选这些（以及其他潜在危险的）字符吗？

2008-09-17 11:41:07

在web.config文件中的标记中，插入属性为requestValidationMode=“2.0”的httpRuntime元素。同时在pages元素中添加validateRequest=“false”属性。

例子：

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>

2012-03-14 22:20:43

从客户端检测到潜在危险的Request.Form值

推荐文章

最新文章

标签