从客户端检测到潜在危险的Request.Form值

每当用户在我的web应用程序中的页面中发布包含<或>的内容时，我都会引发此异常。

我不想因为有人在文本框中输入了字符而引发异常或使整个web应用程序崩溃，但我正在寻找一种优雅的方式来处理这一问题。

捕获异常并显示

出现错误，请返回并重新键入整个表单，但这次请不要使用<

我觉得不够专业。

禁用后验证（validateRequest=“false”）肯定可以避免此错误，但这会使页面容易受到许多攻击。

理想情况下：当发生包含HTML限制字符的回发时，表单集合中的回发值将自动进行HTML编码。因此，我的文本框的.Text属性将是&lt；html&gt；

有没有办法让我从处理者那里做到这一点？

当前回答

如果您使用的是ASP.NET MVC，则此错误有一种不同的解决方案：

ASP.NET MVC–pages validateRequest=false不起作用？为什么ValidateInput（False）不工作？ASP.NET MVC RC1，VALIDATEINPUT，一个潜在的危险请求和陷阱

C#示例：

[HttpPost, ValidateInput(false)]
public ActionResult Edit(FormCollection collection)
{
    // ...
}

Visual Basic示例：

<AcceptVerbs(HttpVerbs.Post), ValidateInput(False)> _
Function Edit(ByVal collection As FormCollection) As ActionResult
    ...
End Function

2009-10-08 22:56:30

其他回答

您可以在自定义模型活页夹中自动对字段进行HTML编码。我的解决方案有些不同，我将错误放在ModelState中，并在字段附近显示错误消息。很容易修改此代码以自动编码

 public class AppModelBinder : DefaultModelBinder
    {
        protected override object CreateModel(ControllerContext controllerContext, ModelBindingContext bindingContext, Type modelType)
        {
            try
            {
                return base.CreateModel(controllerContext, bindingContext, modelType);
            }
            catch (HttpRequestValidationException e)
            {
                HandleHttpRequestValidationException(bindingContext, e);
                return null; // Encode here
            }
        }
        protected override object GetPropertyValue(ControllerContext controllerContext, ModelBindingContext bindingContext,
            PropertyDescriptor propertyDescriptor, IModelBinder propertyBinder)
        {
            try
            {
                return base.GetPropertyValue(controllerContext, bindingContext, propertyDescriptor, propertyBinder);
            }
            catch (HttpRequestValidationException e)
            {
                HandleHttpRequestValidationException(bindingContext, e);
                return null; // Encode here
            }
        }

        protected void HandleHttpRequestValidationException(ModelBindingContext bindingContext, HttpRequestValidationException ex)
        {
            var valueProviderCollection = bindingContext.ValueProvider as ValueProviderCollection;
            if (valueProviderCollection != null)
            {
                ValueProviderResult valueProviderResult = valueProviderCollection.GetValue(bindingContext.ModelName, skipValidation: true);
                bindingContext.ModelState.SetModelValue(bindingContext.ModelName, valueProviderResult);
            }

            string errorMessage = string.Format(CultureInfo.CurrentCulture, "{0} contains invalid symbols: <, &",
                     bindingContext.ModelMetadata.DisplayName);

            bindingContext.ModelState.AddModelError(bindingContext.ModelName, errorMessage);
        }
    }

在应用程序启动中：

ModelBinders.Binders.DefaultBinder = new AppModelBinder();

请注意，它仅适用于表单字段。危险值未传递到控制器模型，但存储在ModelState中，可以在表单上重新显示错误消息。

URL中的危险字符可以这样处理：

private void Application_Error(object sender, EventArgs e)
{
    Exception exception = Server.GetLastError();
    HttpContext httpContext = HttpContext.Current;

    HttpException httpException = exception as HttpException;
    if (httpException != null)
    {
        RouteData routeData = new RouteData();
        routeData.Values.Add("controller", "Error");
        var httpCode = httpException.GetHttpCode();
        switch (httpCode)
        {
            case (int)HttpStatusCode.BadRequest /* 400 */:
                if (httpException.Message.Contains("Request.Path"))
                {
                    httpContext.Response.Clear();
                    RequestContext requestContext = new RequestContext(new HttpContextWrapper(Context), routeData);
                    requestContext.RouteData.Values["action"] ="InvalidUrl";
                    requestContext.RouteData.Values["controller"] ="Error";
                    IControllerFactory factory = ControllerBuilder.Current.GetControllerFactory();
                    IController controller = factory.CreateController(requestContext, "Error");
                    controller.Execute(requestContext);
                    httpContext.Server.ClearError();
                    Response.StatusCode = (int)HttpStatusCode.BadRequest /* 400 */;
                }
                break;
        }
    }
}

错误控制器：

public class ErrorController : Controller
 {
   public ActionResult InvalidUrl()
   {
      return View();
   }
}

2016-02-25 08:17:06

如果您确实需要特殊字符，如，>，<等，请禁用页面验证。然后确保在显示用户输入时，数据是HTML编码的。

页面验证存在安全漏洞，因此可以绕过它。此外，不应仅依赖页面验证。

参见：http://web.archive.org/web/20080913071637/http://www.procheckup.com:80/PDFs/bypassing-dot-NET-ValidateRequest.pdf

2008-09-17 11:32:43

尝试使用

服务器编码

and

Server.Html解码同时发送和接收。

2015-03-31 10:50:19

在.Net 4.0及更高版本（通常情况下）中，将以下设置放入system.web中

<system.web>
     <httpRuntime requestValidationMode="2.0" />

2018-03-15 19:16:55

在ASP.NET MVC中，您需要在web.config中设置requestValidationMode=“2.0”和validateRequest=“false”，并将ValidateInput属性应用于控制器操作：

<httpRuntime requestValidationMode="2.0"/>

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

and

[Post, ValidateInput(false)]
public ActionResult Edit(string message) {
    ...
}

2010-11-30 12:56:45

从客户端检测到潜在危险的Request.Form值

推荐文章

最新文章

标签