ASP.NET 4.0中使用FreeTextBox和FCKeditor遇到安全问题警告的解决办法
2011-03-31 17:23
1041 查看
引言
本人在.NET 4.0+VS2010环境下调试一个ASP.NET 4.0程序时使用到富文本控件FreeTextBox 3.2.2。从网络上查询得到这个控件尽管被广泛使用,但是其相关的安全问题需要自行解决。我的问题
我的问题是在VS2010中使用FreeTextBox 3.2.2用于辅助发送邮件主体内容时,系统出现如下的错误提示:A potentially dangerous Request.Form. value was detected from the client (FreeTextBox1="<H1>bbtest1</H1>").Description:Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted. This value may indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. To allow pages to override application request validation settings, set the requestValidationMode attribute in the httpRuntime configuration section to requestValidationMode="2.0". Example: <httpRuntime requestValidationMode="2.0" />. After setting this value, you can then disable request validation by setting validateRequest="false" in the Page directive or in the <pages> configuration section. However, it is strongly recommended that your application explicitly check all inputs in this case. For more information, see http://go.microsoft.com/fwlink/?LinkId=153133.Exception Details:System.Web.HttpRequestValidationException: A potentially dangerous Request.Form. value was detected from the client (FreeTextBox1="<H1>bbtest1</H1>"). |
原因分析及解决办法
ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。也就是说,页面请求(request)时,含有html或javascript等字符串时。ASP.NET会认为是危险的值,就会抛出辞异常。当页面上使用了所见即所得编辑器(例如使用了fckeditor或FreeTextBox控件等)的时候会发生此异常。以下三种方法是针对ASP.NET 2.0或ASP.NET 3.5环境下的解决办法。解决方法一
在页面上加入 <% Page ValidateRequest="false" %>
解决方法二
修改Web.Config配置文件的<pages>标签。<pages validateRequest="false">...</pages>。这个方法会将所有的页面校验功能去掉,所以不推荐使用此方法。
解决方法三
捕获异常,这样你就可以自己来定义异常的提示方式。
ASP.NET 4.0请求验证模式发生变化
ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest="false"。或者在MVC中,我们可以通过在 Controller或者Action上设置[ValidateRequest(false)]这个特性来达到禁用的上的。但是在当你把站点从旧版本升级到ASP.NET 4.0后,你会发现,即使你这样做,仍然会提示你这样的一个异常“A potentially dangerous Request.Form. value was detected from the client”。该如何来解决这个问题呢?在之前的ASP.NET版本中,请求验证是默认启用的,但是它只对页面请求有效(请求.aspx页面),并且也只是在页面被请求时验证。但是在ASP.NET 4.0中,请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前,这也就意味着所有进入ASP.NET请求通道的所有的HTTP请求都将会被进行请求内容合法性的验证,包括有的自定义HttpHandler,WebService请求,甚至于利用自定义Http Module进行自定义请求处理程序。
请求验证处理被提前的后果就是导致我们在页面,或者Controller中设置 ValidateRequest=false,将会失效,无法阻止程序不去验证请求的输入内容了。因为这样做后,验证器无法得到请求的页面是否禁用了验证请求,因为还没有实例化HttpHandler。
在ASP.NET4.0中,并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑,ASP.NET允许我们通过在web.config中配置使用ASP.NET 2.0的请求验证行为:<httpRuntime requestValidationMode=”2.0″ />。
相关文章推荐
- ASP.NET 4.0中使用FreeTextBox和FCKeditor遇到安全问题警告的解决办法
- ASP.NET 4.0中使用FreeTextBox和FCKeditor遇到安全问题警告的解决办法
- ASP.NET 4.0中使用FreeTextBox和FCKeditor遇到安全问题警告的解决办法
- ASP.NET 4.0中使用FreeTextBox遇到安全问题警告的解决办法
- ASP.NET 4.0中使用FreeTextBox遇到安全问题警告的解决办法
- ASP.NET 4.0中使用FCKeditor遇到安全问题警告的解决办法
- FreeTextBox和FCKeditor遇到安全问题警告的解决办法
- [未能将网站 xxxxxxx配置为使用 ASP.NET 4.0。为了使此网站正确运行,您必须将它手动配置为使用 ASP.NET 4.0] 问题的解决办法
- 问题解决---未能将网站配置为使用ASP.NET4.0
- 常量,字段,构造方法 调试 ms 源代码 一个C#二维码图片识别的Demo 近期ASP.NET问题汇总及对应的解决办法 c# chart控件柱状图,改变柱子宽度 使用C#创建Windows服务 C#服务端判断客户端socket是否已断开的方法 线程 线程池 Task .NET 单元测试的利剑——模拟框架Moq
- 将asp.net webapi的运行时版本由4.0升级到4.5.1时遇到的问题及解决
- 在使用ASP.NET网站管理工具出现“遇到错误。请返回上一页并重试。”的解决办法!
- asp.net在使用fckeditor 2.6版的几个问题的解决
- asp.net 使用Ueditor过程中出现的问题及解决办法
- asp.net(vs2010)中遇到警告不允许使用“targetFramework”特性。【已解决】
- asp.net使用session丢失问题的解决办法
- EF Database First with ASP.NET MVC: Creating the Web Application and Data Models开发遇到问题的解决办法
- 转载+整理:在部署时使用Excel .NET运行库导出Excel遇到问题及解决办法
- 使用Asp.net MVC 2.0 +.NET 4.0 出现 “从客户端 ... 中检测到有潜在危险的 Request.Form 值”错误的解决办法
- 使用VS编写ASP.NET(C#)遇到问题及解决(持续补充)