百度编辑器ueditor通过ajax方式提交,不需要事先转义字符的方法(异常:从客户端(xxx)中检测到有潜在危险的 Request.Form 值)
2012-10-23 11:39
651 查看
最近项目中使用百度编辑神器ueditor,确实是很好用的一款编辑器。官网教程提供的与后端数据交互都是跟表单方式有关的,项目中使用的是ajax方式提交,因此出现了不少问题,现在记录备忘下。
环境:.net4.0、mvc2、chrome浏览器
问题1:提交方式,通过javascript模拟表单数据对象提交,详细了解可以看以下连接:
/article/6949281.html
问题2:服务端接收方式
问题3:异常:从客户端(xxx)中检测到有潜在危险的 Request.Form 值
打开web.config文件,配置如下:
还有就是在Controller中Action方法上加一个[ValidateInput(false)]就成了。
以下是扩展阅读内容,原文地址:/article/4916809.html
先看如下 web.config 的代码:
<system.web>
<compilation debug="true"
targetFramework="4.0"/>
<httpRuntime requestValidationMode="2.0"
/>
<pages validateRequest="false"></pages>
</system.web>
validateRequest 这句我们知道是关闭验证,也就是说提交带标签,比如 <strong>粗体</strong> 这样的值时,ASP.NET 不会报错。
但在 4.0 中还多了一个 requestValidationMode,这是什么意思呢?
requestValidationMode 有两个值:
2.0仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
4.0 默认值。任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。
由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。
ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他紧紧应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。
而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。
上述原因引发的最终结果就是在ASP.NET4中会引发请求错误,例如检测到有潜在危险的Request.Form值等等,为了解决这个问题,可以通过将验证模式设置为ASP.NET之前的版本。具体步骤是在web.config中加入以下配置:
<httpRuntime requestValidationMode=”2.0″ />
设置了请求模式后,再设置
<system.web>
<pages validaterequest=”false”/>
</system.web>
MVC框架中,在控制方法前加入:
[ValidateInput(false)]属性。
那么就可以禁止请求验证了。但是这会引发安全问题,对安全问题的讨论请看这里:点击这里查看
另外还有一种方法就是实现自己的请求验证类,首先需要在web.config中指定请求验证类类型:
<httpRuntime requestValidationType=”Globals.CustomRequestValidation”/>
然后实现自己的请求验证类,这个类必须从RequestValidator类中继承,具体代码如下:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Util;
namespace Globals
{
/// <summary>
/// Summary description for CustomRequestValidation
/// </summary>
public class CustomRequestValidation : RequestValidator
{
public CustomRequestValidation() { }
protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, outint validationFailureIndex)
{
//block script tags
var idx = value.ToLower().IndexOf(“<script”);
if (idx > -1)
{
validationFailureIndex = idx;
return false;
}
else
{
validationFailureIndex = 0;
return true;
}
}
}
}
IsValidRequestString函数返回true则验证通过,否则验证失败,还会出现文章开头所说的错误消息。此请求验证类当检测到<script>标签时就会出现错误,防止脚本注入攻击等等。
环境:.net4.0、mvc2、chrome浏览器
问题1:提交方式,通过javascript模拟表单数据对象提交,详细了解可以看以下连接:
/article/6949281.html
var xhr = new XMLHttpRequest(); var formData = new FormData(); formData.append("content", ue.getContent()); xhr.open('post', Core.host + '/test/test?id=' + id, true); xhr.send(formData);
问题2:服务端接收方式
[ValidateInput(false)] public ActionResult test() { var content = Request.Params["content"]; return Content(content); }
问题3:异常:从客户端(xxx)中检测到有潜在危险的 Request.Form 值
打开web.config文件,配置如下:
<system.web> <httpRuntime requestValidationMode="2.0"/> </system.web>
还有就是在Controller中Action方法上加一个[ValidateInput(false)]就成了。
以下是扩展阅读内容,原文地址:/article/4916809.html
先看如下 web.config 的代码:
<system.web>
<compilation debug="true"
targetFramework="4.0"/>
<httpRuntime requestValidationMode="2.0"
/>
<pages validateRequest="false"></pages>
</system.web>
validateRequest 这句我们知道是关闭验证,也就是说提交带标签,比如 <strong>粗体</strong> 这样的值时,ASP.NET 不会报错。
但在 4.0 中还多了一个 requestValidationMode,这是什么意思呢?
requestValidationMode 有两个值:
2.0仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
4.0 默认值。任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。
由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。
ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他紧紧应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。
而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。
上述原因引发的最终结果就是在ASP.NET4中会引发请求错误,例如检测到有潜在危险的Request.Form值等等,为了解决这个问题,可以通过将验证模式设置为ASP.NET之前的版本。具体步骤是在web.config中加入以下配置:
<httpRuntime requestValidationMode=”2.0″ />
设置了请求模式后,再设置
<system.web>
<pages validaterequest=”false”/>
</system.web>
MVC框架中,在控制方法前加入:
[ValidateInput(false)]属性。
那么就可以禁止请求验证了。但是这会引发安全问题,对安全问题的讨论请看这里:点击这里查看
另外还有一种方法就是实现自己的请求验证类,首先需要在web.config中指定请求验证类类型:
<httpRuntime requestValidationType=”Globals.CustomRequestValidation”/>
然后实现自己的请求验证类,这个类必须从RequestValidator类中继承,具体代码如下:
using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Util;
namespace Globals
{
/// <summary>
/// Summary description for CustomRequestValidation
/// </summary>
public class CustomRequestValidation : RequestValidator
{
public CustomRequestValidation() { }
protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, outint validationFailureIndex)
{
//block script tags
var idx = value.ToLower().IndexOf(“<script”);
if (idx > -1)
{
validationFailureIndex = idx;
return false;
}
else
{
validationFailureIndex = 0;
return true;
}
}
}
}
IsValidRequestString函数返回true则验证通过,否则验证失败,还会出现文章开头所说的错误消息。此请求验证类当检测到<script>标签时就会出现错误,防止脚本注入攻击等等。
相关文章推荐
- 百度编辑器ueditor通过ajax方式提交,不需要事先转义字符的方法(异常:从客户端(xxx)中检测到有潜在危险的 Request.Form 值)
- 百度编辑器ueditor通过ajax方式提交,不需要事先转义字符的方法(异常:从客户端(xxx)中检测到有潜在危险的 Request.Form 值)
- 百度编辑器ueditor通过ajax方式提交,不需要事先转义字符的方法(异常:从客户端(xxx)中检测到有潜在危险的 Request.Form 值)
- js ajax 提交时报异常:从客户端(xxx)中检测到有潜在危险的 Request.Form 值
- 出现“从客户端xxx中检测到有潜在危险的 Request.Form 值“的解决方法
- 异常“从客户端...中检测到有潜在危险的Request.Form 值”的解决方法
- WebServcies 调用方法异常:System.Web.HttpRequestValidationException: 从客户端中检测到有潜在危险的 Request.Form 值。
- ASP.NET MVC4(ASPX)通过文本编辑器提交报从客户端中检测到有潜在危险的 Request.Form 值的错误
- 从客户端(...)中检测到有潜在危险的Request.Form 值的处理办法 找不到方法:System.Web.UnvalidatedRequestValues
- .NET MVC从客户端中检测到有潜在危险的 Request.Form 值 的解决方法
- "从客户端检测到有潜在危险的Request.Form 值" 解决方法
- 从客户端中检测到有潜在危险的 Request.Form 值错误解决方法
- .NET 关于从客户端(...)中检测到有潜在危险的Request.Form 值的处理办法 找不到方法:System.Web.UnvalidatedRequestValues报错的处理方案(待完善)
- ASP.NET从客户端中检测到有潜在危险的request.form值的3种解决方法
- 从客户端中检测到有潜在危险的 Request.Form 值的详细解决方法
- “从客户端......中检测到有潜在危险的 Request.Form 值”的解决方法
- 验证视图状态 MAC 失败,从客户端检测到有潜在危险的Request.Form值的解决方法
- 从客户端(XXX)中检测到有潜在危险的Request.Form 值
- 从客户端中检测到有潜在危险的Request.Form值 的解决方法