页面ValidateRequest=false设置在asp.net4.0下失效
大家好,又见面了,我是你们的朋友全栈君。
ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest=”false”。或者在MVC中,我们可以通过在Controller或者Action上设置[ValidateRequest(false)]这个特性来达到禁用的上的。但是在当你把站点从旧版本升级到ASP.NET 4.0后,你会发现,即使你这样做,仍然会提示你这样的一个异常“A potentially dangerous Request.Form value was detected from the client”。该如何来解决这个问题呢?
在之前的ASP.NET版本中,请求验证是默认启用的,但是它只对页面请求有效(请求.aspx页面),并且也只是在页面被请求时验证。但是在ASP.NET 4.0中,请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前,这也就意味着所有进入ASP.NET请求通道的所有的HTTP请求都将会被进行请求内容合法性的验证,包括有的自定义HttpHandler,WebService请求,甚至于利用自定义Http Module进行自定义请求处理程序。
请求验证处理被提前的后果就是导致我们在页面,或者Controller中设置ValidateRequest=false,将会失效,无法阻止程序不去验证请求的输入内容了。因为这样做后,验证器无法得到请求的页面是否禁用了验证请求,因为还没有实例化HttpHandler。并且在ASP.NET4.0中,并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑,ASP.NET允许我们通过在web.config中配置使用ASP.NET 2.0的请求验证行为:<httpRuntime requestValidationMode=”2.0″ />。
发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/142611.html原文链接:https://javaforall.cn
相关文章
- ASP操作MySQL数据库的实现(asp读取mysql)
- 数据交互实现ASP页面与MySQL数据交互最佳方法(asp页面与mysql)
- ASP编程连接MySQL之旅(asp连接mysql包)
- 库ASP实现MySQL数据库数据更新(asp更新mysql数据)
- 数据库探索ASP环境搭建MySQL数据库方法(asp搭建mysql)
- 用ASP搭建MySQL网站技术实例(asp mysql 网站)
- MySQL 注入防范调用 ASP 技术进行解决(asp mysql 注入)
- 建立企业级应用ASP系统与Oracle技术配合的良好实践(asp系统oracle)
- ASP控制下的Oracle数据库管理初体验(asp控制oracle)
- ASP与Oracle联手,智慧集群打造Web应用(asp和oracle联用)
- ASP.NET:设置页面buffer引出来的问题
- ASP.NET设计网络硬盘之文件夹实现
- ASP中应用事务处理技巧
- 实现ASP.NET多文件上传程序代码
- ASP访问数量统计代码
- asp.netRepeater自递增
- asp.net设置GridView的选中行
- asp.netGridView导出到Excel代码
- Asp.net开发常用的51个非常实用的代码
- asp.net中session的原理及应用详解
- 在64bitWin2008上运行Asp+Access网站的一些设置
- asp解密、还原chrw、chr编码文件的方法
- Asp.net中将Word文件转换成HTML的方法
- 推荐4款傻瓜型的ASP服务器软件(asp运行环境一键搭建工具)