从客户端中检测到有潜在危险的 Request.Form 值
2016-04-13 17:19
337 查看
在页面中我添加一个dropdownlist,里面添加的数据总会报错:从客户端中检测到有潜在危险的 Request.Form 值。
这是为什么呢?
其实我已经说的很明白了,是我dropdownlist里面的值有问题,asp.net 中的请求验证特性提供了一种保护措置用来防止xss攻击,并且在asp.net中,这种请求验证是默认启动的。
科普一下,根据百度百科介绍:XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same
origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
那么,该怎么解决这个问题呢:
在.net2.0的情况下:
如果只是一个页面有这个问题,我们可以在页面中加入:ValidateRequest="false",ValidateRequest为false,是指在页面提交时验证关闭,代码如下:
<%@ Page ValidateRequest="false" Language="C#" AutoEventWireup="true" CodeFile="htl.aspx.cs" Inherits="htl" %>
如果是很多页面的话,就可以在web.config中修改:
<system.web> <pages validateRequest="false" > </pages> </system.web>
在.net4.0情况下:
4.0模式默认情况下,任何
HTTP 请求都会启用请求验证,也就是说不光是网页,还包括Session、 Cookie 等。强制启用,不管 validateRequest 为何值,所以只是单纯的修改validateRequest 并没有什么作用,我们就需要设置还原2.0仅对网页启用请求验证
然后以2.0的修改方法进行修改,代码如下:
<system.web> <httpRuntime requestValidationMode="2.0" /> <pages validateRequest="false"></pages> </system.web>
但是,这些方法只是关闭了对XSS防御,真正的前端开发需要另外编写程序进行XSS防御。
相关文章推荐
- easyui webapi
- 使用手势对UIImageView进行缩放、旋转和移动
- 使用手势对UIImageView进行缩放、旋转和移动
- Java集合(三):Queue队列
- MySQL关于Value '0000-00-00 00:00:00' can not be represented as java.sql.Timestamp
- POJ 3061 Subsequence
- Reveal逆向工程:分析任意iOS应用的UI界面
- Xcode使用介绍之五:初识UI控件
- easyUI动态columns
- String , StringBuffer, StringBuilder的区别
- Xcode使用介绍之二:创建UI界面+连线
- 错误:-[UIKBBlurredKeyView candidateList]: unrecognized selector sent to instance
- Reason: no suitable image found
- APUE------信号
- Code Sign error: No matching provisioning profile found: Your build settings specify a provisioning
- Android 设置系统SystemUI 顶部StatusBar状态栏透明一体化
- CodeForces 163A Substring and Subsequence(DP)
- Uestc ABCDE 1037
- StringBuilder和stringBuffer的区别
- [LeetCode]Longest Increasing Subsequence