asp.net4.0框架下验证机制失效的原因及处理办法
ASP.NET请求验证功能为我们提供应用程序的安全保证,避免站点受到XSS跨站脚本攻击。但在有些时候,比如我们需要使用Ckeditor等在线文本编辑器让用户输入一些HTML文本,在ASP.NET 2.0框架下,通过在web.config中设置validateRequest="false"。或者在MVC中,我们可以通过在Controller或者Action上设置[ValidateRequest(false)]这个特性来达到禁用的目的。但是在ASP.NET 4.0框架下,你会发现,即使你这样做,仍然会提示你这样的一个异常“A potentially dangerous Request.Form value was detected from the client”。这是怎么回事呢?
原来是asp.net4.0应用程序生命周期发生了变化,在之前的ASP.NET版本中,请求验证是默认启用的,但是它只对页面请求有效(请求.aspx页面),并且也只是在页面被请求时验证。但是在ASP.NET 4.0中,请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前,这也就意味着所有进入ASP.NET请求通道的所有的HTTP请求都将会被进行请求内容合法性的验证,包括有的自定义HttpHandler,WebService请求,甚至于利用自定义Http Module进行自定义请求处理程序。
请求验证处理被提前的后果就是导致我们在页面,或者Controller中设置ValidateRequest=false,将会失效,无法阻止程序不去验证请求的输入内容了。因为这样做后,验证器无法得到请求的页面是否禁用了验证请求,因为还没有实例化HttpHandler。并且在ASP.NET4.0中,并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑,ASP.NET允许我们通过在web.config中配置使用ASP.NET 2.0的请求验证行为:<httpRuntime requestValidationMode=”2.0″ />,这样就解决了。
您可能感兴趣的文章:
- asp.net4.0框架下验证机制失效的原因及处理办法
- ASP.NET MVC 4.0中选择Windows 验证默认出错拒绝访问的原因和解决方案
- ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效
- ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效
- requestValidationMode 导致 ValidateRequest=False 失效或者ASP.NET 4.0事件消息: 发生了验证错误;检测到有潜在危险的Request.Form值
- 深入了解asp.net框架。生命周期以及事件处理机制
- validateRequest="false" 在asp.net 4.0中失效的解决办法
- ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效
- ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效
- 虚拟空间asp.net 验证控件失效原因
- requestValidationMode 导致 ValidateRequest=False 失效或者ASP.NET 4.0事件消息: 发生了验证错误;检测到有潜在危险的Request.Form值
- 关于asp.net unity框架结构无法读取配置节“unity”问题处理办法
- asp.net 验证控件失效的解决办法
- ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效
- SCOM2012中“ASP.NET 4.0处理程序未向IIS注册”解决办法
- ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效
- ASP.NET Core如何添加统一模型验证处理机制详解
- asp.net 删除cookies同时注销登录禁用IE后退事件 框架里处理
- ASP.Net请求处理机制初步探索之旅 - Part 4 WebForm页面生命周期
- ASP.NET 4.0 取消表单危险字符验证