it-swarm.cn

从客户端检测到潜在危险的Request.Form值

每当用户在我的Web应用程序的页面中发布包含<>的内容时,我都会抛出此异常。

我不想进入关于抛出异常或崩溃整个Web应用程序的聪明性的讨论,因为有人在文本框中输入了一个字符,但我正在寻找一种优雅的方法来处理这个问题。

捕获异常并显示

发生错误请返回并重新输入整个表单,但这次请不要使用<

对我来说似乎不够专业。

禁用后验证(validateRequest="false")肯定会避免此错误,但它会使页面容易受到多次攻击。

理想情况下:当发回包含HTML限制字符的帖子时,表单集合中的发布值将自动进行HTML编码。[。_____。]因此我的文本框的.Text属性将是something & lt; html & gt;

有没有办法可以从处理程序中执行此操作?

1379
Radu094

我认为你是通过尝试编码所有发布的数据从错误的角度攻击它。

请注意,“<”也可能来自其他外部源,如数据库字段,配置,文件,订阅源等。 

此外,“<”本身并不危险。它在特定的上下文中是危险的:当编写未编码为HTML输出的字符串时(因为XSS)。

在其他情况下,不同的子字符串是危险的,例如,如果您将用户提供的URL写入链接,则子字符串“javascript:”可能是危险的。另一方面,单引号字符在SQL查询中插入字符串时很危险,但如果它是从表单提交的名称的一部分或从数据库字段读取,则非常安全。

底线是:您无法过滤危险字符的随机输入,因为在适当的情况下任何字符都可能是危险的。您应该在某些特定字符可能变得危险的位置进行编码,因为它们会跨越到具有特殊含义的不同子语言。将字符串写入HTML时,应使用Server.HtmlEncode对HTML中具有特殊含义的字符进行编码。如果将字符串传递给动态SQL语句,则应编码不同的字符(或者更好,让框架通过使用预处理语句等为您完成)。

您确定在任何地方都将HTML编码传递给HTML,然后在validateRequest="false"文件的<%@ Page ... %>指令中设置.aspx

在.NET 4中,您可能需要做更多的事情。有时需要将<httpRuntime requestValidationMode="2.0" />添加到web.config( reference )。

1028
JacquesB

如果您使用的是ASP.NET MVC,则会出现此错误的不同解决方案:

C#样本:

[HttpPost, ValidateInput(false)]
public ActionResult Edit(FormCollection collection)
{
    // ...
}

Visual Basic示例:

<AcceptVerbs(HttpVerbs.Post), ValidateInput(False)> _
Function Edit(ByVal collection As FormCollection) As ActionResult
    ...
End Function
482
Zack Peterson

在ASP.NET MVC(从版本3开始)中,您可以将 AllowHtml 属性添加到模型的属性中。

它允许请求在模型绑定期间通过跳过属性的请求验证来包含HTML标记。

[AllowHtml]
public string Description { get; set; }
384
Anthony Johnston

如果您使用的是.NET 4.0,请确保将其添加到<system.web>标记内的 web.config 文件中:

<httpRuntime requestValidationMode="2.0" />

在.NET 2.0中,请求验证仅适用于aspx请求。在.NET 4.0中,这扩展到包括 all requests。通过指定处理.aspx,您可以恢复为 only 执行XSS验证:

requestValidationMode="2.0"

您可以通过指定以下内容禁用请求验证 完全

validateRequest="false"
206
JordanC

对于ASP.NET 4.0,您可以将标记作为特定页面的输入而不是整个站点,将其全部放在<location>元素中。这将确保您的所有其他页面都是安全的。您不需要在.aspx页面中放置ValidateRequest="false"

<configuration>
...
  <location path="MyFolder/.aspx">
    <system.web>
      <pages validateRequest="false" />
      <httpRuntime requestValidationMode="2.0" />
    </system.web>
  </location>
...
</configuration>

在web.config中控制它更安全,因为您可以在站点级别看到哪些页面允许标记作为输入。

您仍然需要以编程方式验证禁用请求验证的页面上的输入。

108
Carter Medlin

之前的答案很棒,但没有人说过如何排除单个字段的HTML/JavaScript注入验证。我不知道以前的版本,但在MVC3 Beta中你可以这样做:

[HttpPost, ValidateInput(true, Exclude = "YourFieldName")]
public virtual ActionResult Edit(int id, FormCollection collection)
{
    ...
}

这仍然验证除被排除的字段之外的所有字段。关于这一点的好处是您的验证属性仍然验证该字段,但您只是没有得到“从客户端检测到潜在危险的Request.Form值”异常。

我用它来验证正则表达式。我已经创建了自己的ValidationAttribute来查看正则表达式是否有效。由于正则表达式可以包含类似于我应用上述代码的脚本的东西 - 正则表达式仍在被检查是否有效,但如果它包含脚本或HTML则不然。

70
gligoran

在ASP.NET MVC中,您需要在web.config中设置requestValidationMode =“2.0”和validateRequest =“false”,并将ValidateInput属性应用于您的控制器操作:

<httpRuntime requestValidationMode="2.0"/>

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

[Post, ValidateInput(false)]
public ActionResult Edit(string message) {
    ...
}
48
ranthonissen

您可以 HTML编码 文本框内容,但不幸的是,这不会阻止异常发生。根据我的经验,没有办法,你必须禁用页面验证。通过这样做,你说:“我会小心,我保证。”

45
Pavel Chuchuva

对于MVC,通过添加忽略输入验证 

[ValidateInput(假)]

在控制器中的每个动作之上。

42
A.Dara

您可以在Global.asax中捕获该错误。我仍然想验证,但显示适当的消息。在下面列出的博客上,可以获得这样的示例。 

    void Application_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();

        if (ex is HttpRequestValidationException)
        {
            Response.Clear();
            Response.StatusCode = 200;
            Response.Write(@"[html]");
            Response.End();
        }
    }

重定向到另一个页面似乎也是对异常的合理响应。

http://www.romsteady.net/blog/2007/06/how-to-catch-httprequestvalidationexcep.html

41
BenMaddox

请记住,某些.NET控件会自动对输出进行HTML编码。例如,在TextBox控件上设置.Text属性将自动对其进行编码。这特别意味着将<转换为&lt;>转换为&gt;,将&转换为&amp;。所以要小心这样做......

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

但是,HyperLink,Literal和Label的.Text属性不会对HTML进行编码,因此包装Server.HtmlEncode();如果您想阻止<script> window.location = "http://www.google.com"; </script>输出到您的页面并随后执行,那么必须在这些属性上设置任何内容。

做一些实验,看看什么编码,什么不编码。

33
Dominic Pettifer

这个问题的答案很简单:

var varname = Request.Unvalidated["parameter_name"];

这将禁用特定请求的验证。

31
flakomalo

在web.config文件中,在标记内插入带有属性requestValidationMode =“2.0”的httpRuntime元素。还要在pages元素中添加validateRequest =“false”属性。

例:

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>
27
Mahdi jokar

如果您不想禁用ValidateRequest,则需要实现JavaScript函数以避免异常。它不是最佳选择,但它有效。

function AlphanumericValidation(evt)
{
    var charCode = (evt.charCode) ? evt.charCode : ((evt.keyCode) ? evt.keyCode :
        ((evt.which) ? evt.which : 0));

    // User type Enter key
    if (charCode == 13)
    {
        // Do something, set controls focus or do anything
        return false;
    }

    // User can not type non alphanumeric characters
    if ( (charCode <  48)                     ||
         (charCode > 122)                     ||
         ((charCode > 57) && (charCode < 65)) ||
         ((charCode > 90) && (charCode < 97))
       )
    {
        // Show a message or do something
        return false;
    }
}

然后在代码后面的PageLoad事件中,使用下一个代码将属性添加到控件:

Me.TextBox1.Attributes.Add("OnKeyPress", "return AlphanumericValidation(event);")
23
YORENGOY

似乎没有人提到下面的内容,但它解决了我的问题。在任何人说是的之前它是Visual Basic ...哎呀。

<%@ Page Language="vb" AutoEventWireup="false" CodeBehind="Example.aspx.vb" Inherits="Example.Example" **ValidateRequest="false"** %>

我不知道是否有任何缺点,但对我来说这真的很棒。

20
Piercy

另一种解决方案是

protected void Application_Start()
{
    ...
    RequestValidator.Current = new MyRequestValidator();
}

public class MyRequestValidator: RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        bool result = base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

        if (!result)
        {
            // Write your validation here
            if (requestValidationSource == RequestValidationSource.Form ||
                requestValidationSource == RequestValidationSource.QueryString)

                return true; // Suppress error message
        }
        return result;
    }
}
17
Sel

如果您使用的是框架4.0,那么web.config中的条目(<pages validateRequest =“false”/>)

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

如果您使用的是框架4.5,那么web.config中的条目(requestValidationMode =“2.0”)

<system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" requestValidationMode="2.0"/>
</system.web>

如果你只想要单页,那么在你的aspx文件中你应该把第一行作为:

<%@ Page EnableEventValidation="false" %>

如果您已经有类似<%@ Page的内容,那么只需添加其余=> EnableEventValidation="false"%>

我建议不要这样做。

14
Durgesh Pandey

在ASP.NET中,您可以捕获异常并对其执行某些操作,例如显示友好消息或重定向到另一个页面...还有可能您可以自己处理验证...

显示友好消息:

protected override void OnError(EventArgs e)
{
    base.OnError(e);
    var ex = Server.GetLastError().GetBaseException();
    if (ex is System.Web.HttpRequestValidationException)
    {
        Response.Clear();
        Response.Write("Invalid characters."); //  Response.Write(HttpUtility.HtmlEncode(ex.Message));
        Response.StatusCode = 200;
        Response.End();
    }
}
13
Jaider

我想你可以在模块中做到这一点;但这留下了一些问题;如果要将输入保存到数据库怎么办?突然之间,因为你将编码数据保存到数据库,你最终信任它的输入,这可能是一个坏主意。理想情况下,您每次都会将原始未编码数据存储在数据库中并进行编码。

在每页级别禁用保护,然后每次编码是一个更好的选择。

而不是使用Server.HtmlEncode,您应该从Microsoft ACE团队查看更新,更完整的 Anti-XSS库

12
blowdart

这里的其他解决方案都很不错,但是后面必须将[AllowHtml]应用到每个Model属性,这是一个很大的痛苦,特别是如果你在一个体面的网站上有超过100个模型。

如果像我一样,你想在网站范围内转换这个(恕我直言相当毫无意义)功能,你可以覆盖基本控制器中的Execute()方法(如果你还没有基本控制器我建议你做一个,它们可以是应用常用功能非常有用)。

    protected override void Execute(RequestContext requestContext)
    {
        // Disable requestion validation (security) across the whole site
        ValidateRequest = false;
        base.Execute(requestContext);
    }

只要确保你是HTML编码从用户输入的视图中抽出的所有内容(无论如何,它是带有Razor的ASP.NET MVC 3中的默认行为,所以除非出于某些奇怪的原因你使用的是Html.Raw()不应该要求此功能。

10
magritte

如果您确实需要特殊字符,如><等,请禁用页面验证。然后确保在显示用户输入时,数据是HTML编码的。 

页面验证存在安全漏洞,因此可以绕过它。此外,不应仅依赖页面验证。

见: http://web.archive.org/web/20080913071637/http://www.procheckup.com:80/PDFs/bypassing-dot-NET-ValidateRequest.pdf

9
woany

原因

ASP.NET默认验证所有输入控件,以查找可能导致 跨站点脚本 (XSS)和 SQL注入 的潜在不安全内容。因此,通过抛出上述异常,它不允许这样的内容。默认情况下,建议允许在每次回发时进行此检查。

解决方案

在许多情况下,您需要通过Rich TextBoxes或Rich Text Editors向页面提交HTML内容。在这种情况下,您可以通过将@Page指令中的ValidateRequest标记设置为false来避免此异常。

<%@ Page Language="C#" AutoEventWireup="true" ValidateRequest = "false" %>

这将禁用对已将ValidateRequest标志设置为false的页面的请求的验证。如果要禁用此功能,请检查整个Web应用程序;您需要在web.config <system.web>部分将其设置为false

<pages validateRequest ="false" />

对于.NET 4.0或更高版本的框架,您还需要在<system.web>部分中添加以下行以完成上述工作。

<httpRuntime requestValidationMode = "2.0" />

而已。我希望这可以帮助你摆脱上述问题。

引用:ASP.Net错误:从客户端检测到一个潜在危险的Request.Form值

9
vakeel

我找到了一个使用JavaScript对数据进行编码的解决方案,该解决方案在.NET中解码(并且不需要jQuery)。

  • 使文本框成为HTML元素(如textarea)而不是ASP one。
  • 添加隐藏字段。
  • 将以下JavaScript函数添加到标题中。

    function boo(){[。_____。] targetText = document.getElementById(“HiddenField1”); sourceText = document.getElementById(“userbox” ); targetText.value = escape(sourceText.innerText); }

在你的textarea中,包含一个调用boo()的onchange:

<textarea id="userbox"  onchange="boo();"></textarea>

最后,在.NET中,使用

string val = Server.UrlDecode(HiddenField1.Value);

我知道这是单向的 - 如果你需要双向,你必须要有创意,但如果你不能编辑web.config,这就提供了一个解决方案。

这是我(MC9000)提出并通过jQuery使用的一个例子:

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

标记:

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

这非常有效。如果黑客试图通过绕过JavaScript发布,他们只会看到错误。您也可以保存在数据库中编码的所有这些数据,然后将其(在服务器端)取消它,并在显示在其他地方之前解析并检查攻击。

9
Jason Shuler

我也得到了这个错误。

在我的例子中,用户在角色名称中输入了带重音的字符á(关于ASP.NET成员资格提供者)。

我将角色名称传递给一个方法,以便将用户授予该角色,并且$.ajax帖子请求失败了......

我这样做是为了解决问题:

代替

data: { roleName: '@Model.RoleName', users: users }

做这个

data: { roleName: '@Html.Raw(@Model.RoleName)', users: users }

@Html.Raw成功了。

我将角色名称作为HTML值roleName="Cadastro b&#225;s"。 ASP.NET MVC阻止了HTML实体&#225;的这个值。现在我按照应该的方式得到roleName参数值:roleName="Cadastro Básico"并且ASP.NET MVC引擎不再阻止请求。

9
Leniel Maccaferri

您还可以使用JavaScript的 转义(字符串) 函数来替换特殊字符。然后服务器端使用Server. URLDecode(string) 将其切换回来。

这样您就不必关闭输入验证,其他程序员可以更清楚地知道字符串可能包含HTML内容。

7
Trisped

我最终在每次回发之前使用JavaScript来检查你不想要的字符,例如:

<asp:Button runat="server" ID="saveButton" Text="Save" CssClass="saveButton" OnClientClick="return checkFields()" />

function checkFields() {
    var tbs = new Array();
    tbs = document.getElementsByTagName("input");
    var isValid = true;
    for (i=0; i<tbs.length; i++) {
        if (tbs(i).type == 'text') {
            if (tbs(i).value.indexOf('<') != -1 || tbs(i).value.indexOf('>') != -1) {
                alert('<> symbols not allowed.');
                isValid = false;
            }
        }
    }
    return isValid;
}

当然,我的页面主要是数据输入,并且很少有元素可以进行回发,但至少保留了他们的数据。

6
Ryan

只要这些是 only “<”和“>”(而不是双引号本身)字符,并且你在上下文中使用它们,如<input value =“ this ”/> ,你是安全的(而对于<textarea> 这一个 </ textarea>你当然会很脆弱)。这可能会简化您的情况,但对于 任何事情 更多使用其他发布的解决方案。

4
Paweł Hajdan

如果你只是想告诉你的用户<和>不被使用但是你不希望整个表单被处理/发回(并丢失所有输入),你不能简单地放入在该字段周围的验证器来筛选那些(也许是其他潜在危险的)角色?

4
Captain Toad

您可以使用以下内容:

var nvc = Request.Unvalidated().Form;

之后,nvc["yourKey"]应该可以工作。

4
Ady Levy

这些建议都不适合我。我无论如何都不想为整个网站关闭此功能,因为99%的时间我不希望我的用户在网络表单上放置HTML。我只是创建了自己的方法,因为我是唯一一个使用这个特定应用程序的人。我在后面的代码中将输入转换为HTML并将其插入到我的数据库中。

4
Mike S.

您可以在自定义Model Binder中自动HTML编码字段。我的解决方案有些不同,我在ModelState中输入错误并在字段附近显示错误消息。修改此代码以便自动编码很容易 

 public class AppModelBinder : DefaultModelBinder
    {
        protected override object CreateModel(ControllerContext controllerContext, ModelBindingContext bindingContext, Type modelType)
        {
            try
            {
                return base.CreateModel(controllerContext, bindingContext, modelType);
            }
            catch (HttpRequestValidationException e)
            {
                HandleHttpRequestValidationException(bindingContext, e);
                return null; // Encode here
            }
        }
        protected override object GetPropertyValue(ControllerContext controllerContext, ModelBindingContext bindingContext,
            PropertyDescriptor propertyDescriptor, IModelBinder propertyBinder)
        {
            try
            {
                return base.GetPropertyValue(controllerContext, bindingContext, propertyDescriptor, propertyBinder);
            }
            catch (HttpRequestValidationException e)
            {
                HandleHttpRequestValidationException(bindingContext, e);
                return null; // Encode here
            }
        }

        protected void HandleHttpRequestValidationException(ModelBindingContext bindingContext, HttpRequestValidationException ex)
        {
            var valueProviderCollection = bindingContext.ValueProvider as ValueProviderCollection;
            if (valueProviderCollection != null)
            {
                ValueProviderResult valueProviderResult = valueProviderCollection.GetValue(bindingContext.ModelName, skipValidation: true);
                bindingContext.ModelState.SetModelValue(bindingContext.ModelName, valueProviderResult);
            }

            string errorMessage = string.Format(CultureInfo.CurrentCulture, "{0} contains invalid symbols: <, &",
                     bindingContext.ModelMetadata.DisplayName);

            bindingContext.ModelState.AddModelError(bindingContext.ModelName, errorMessage);
        }
    }

在Application_Start中:

ModelBinders.Binders.DefaultBinder = new AppModelBinder();

请注意,它仅适用于表单字段。危险值未传递给控制器​​模型,但存储在ModelState中,可以在带有错误消息的表单上重新显示。 

URL中的危险字符可以通过以下方式处理:

private void Application_Error(object sender, EventArgs e)
{
    Exception exception = Server.GetLastError();
    HttpContext httpContext = HttpContext.Current;

    HttpException httpException = exception as HttpException;
    if (httpException != null)
    {
        RouteData routeData = new RouteData();
        routeData.Values.Add("controller", "Error");
        var httpCode = httpException.GetHttpCode();
        switch (httpCode)
        {
            case (int)HttpStatusCode.BadRequest /* 400 */:
                if (httpException.Message.Contains("Request.Path"))
                {
                    httpContext.Response.Clear();
                    RequestContext requestContext = new RequestContext(new HttpContextWrapper(Context), routeData);
                    requestContext.RouteData.Values["action"] ="InvalidUrl";
                    requestContext.RouteData.Values["controller"] ="Error";
                    IControllerFactory factory = ControllerBuilder.Current.GetControllerFactory();
                    IController controller = factory.CreateController(requestContext, "Error");
                    controller.Execute(requestContext);
                    httpContext.Server.ClearError();
                    Response.StatusCode = (int)HttpStatusCode.BadRequest /* 400 */;
                }
                break;
        }
    }
}

ErrorController: 

public class ErrorController : Controller
 {
   public ActionResult InvalidUrl()
   {
      return View();
   }
}   
3
Sel

您应该使用Server.HtmlEncode方法来保护您的站点免受危险的输入。

更多信息

3
bastos.sergio

正如我对 Sel的回答 的评论所示,这是我们对自定义请求验证器的扩展。

public class SkippableRequestValidator : RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        if (collectionKey != null && collectionKey.EndsWith("_NoValidation"))
        {
            validationFailureIndex = 0;
            return true;
        }

        return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);
    }
}
2
Walden Leverich

对于那些没有使用模型绑定的人,谁从Request.Form中提取每个参数,谁肯定输入文本不会造成伤害,还有另一种方法。不是一个很好的解决方案,但它会完成这项工作。 

从客户端,将其编码为uri然后发送。
例如: 

encodeURIComponent($("#MsgBody").val());  

从服务器端,接受它并将其解码为uri。
例如: 

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Web.HttpUtility.UrlDecode(HttpContext.Current.Request.Form["MsgBody"]) : 
null;  

要么 

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Uri.UnescapeDataString(HttpContext.Current.Request.Form["MsgBody"]) : 
null; 

请查看UrlDecodeUnescapeDataString之间的区别

2
Wahid Masud

最后但并非最不重要的,请注意ASP.NET数据绑定控件在数据绑定期间自动 编码 值。这会更改ItemTemplate中包含的所有ASP.NET控件(TextBox,Label等)的默认行为。以下示例演示(ValidateRequest设置为false):

aspx

<%@ Page Language="C#" ValidateRequest="false" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="WebApplication17._Default" %> <html> <body>
    <form runat="server">
        <asp:FormView ID="FormView1" runat="server" ItemType="WebApplication17.S" SelectMethod="FormView1_GetItem">
            <ItemTemplate>
                <asp:TextBox ID="TextBox1" runat="server"></asp:TextBox>
                <asp:Button ID="Button1" runat="server" Text="Button" OnClick="Button1_Click" />
                <asp:Label ID="Label1" runat="server" Text="<%#: Item.Text %>"></asp:Label>
                <asp:TextBox ID="TextBox2" runat="server" Text="<%#: Item.Text %>"></asp:TextBox>
            </ItemTemplate>
        </asp:FormView>
    </form> 

代码背后

public partial class _Default : Page
{
    S s = new S();

    protected void Button1_Click(object sender, EventArgs e)
    {
        s.Text = ((TextBox)FormView1.FindControl("TextBox1")).Text;
        FormView1.DataBind();
    }

    public S FormView1_GetItem(int? id)
    {
        return s;
    }
}

public class S
{
    public string Text { get; set; }
}
  1. 案例提交值:&#39;

Label1.Text值:&#39;

TextBox2.Text值:&amp;#39;

  1. 案例提交值:<script>alert('attack!');</script>

Label1.Text值:<script>alert('attack!');</script>

TextBox2.Text值:&lt;script&gt;alert(&#39;attack!&#39;);&lt;/script&gt;

1
dpant

对于我们这些仍然坚持使用webforms的人,我发现以下解决方案使您只能在一个字段上禁用验证! (我不想在整个页面上禁用它。)

VB.NET:

Public Class UnvalidatedTextBox
    Inherits TextBox
    Protected Overrides Function LoadPostData(postDataKey As String, postCollection As NameValueCollection) As Boolean
        Return MyBase.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form)
    End Function
End Class

C#:

public class UnvalidatedTextBox : TextBox
{
    protected override bool LoadPostData(string postDataKey, NameValueCollection postCollection)
    {
        return base.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form);
    }
}

现在只需使用<prefix:UnvalidatedTextBox id="test" runat="server" />而不是<asp:TextBox,它应该允许所有字符(这对于密码字段来说是完美的!)

1
Peter

我知道这个问题是关于表单发布的,但我想为在其他情况下收到此错误的人添加一些细节。它也可能出现在用于实现Web服务的处理程序上。 

假设您的Web客户端使用ajax发送POST或PUT请求,并将json或xml文本或原始数据(文件内容)发送到您的Web服务。由于您的Web服务不需要从Content-Type标头获取任何信息,因此您的JavaScript代码未将此标头设置为您的ajax请求。但是如果你没有在POST/PUT ajax请求上设置这个标题,Safari可能会添加这个标题:“Content-Type:application/x-www-form-urlencoded”。我观察到iPhone上的Safari 6,但其他Safari版本/操作系统或Chrome也可能会这样做。因此,当接收到此Content-Type标头时,.NET Framework的某些部分假定请求主体数据结构对应于html表单发布,而它没有,并且引发了HttpRequestValidationException异常。要做的第一件事显然是始终将Content-Type标头设置为POST/PUT ajax请求上的表单MIME类型,即使它对您的Web服务也没用。

我也发现了这个细节:
在这些情况下,当您的代码尝试访问HttpRequest.Params集合时,HttpRequestValidationException异常会上升。但令人惊讶的是,当访问HttpRequest.ServerVariables集合时,此异常并未上升。这表明虽然这两个集合似乎几乎相同,但是一个通过安全检查访问请求数据而另一个不通过安全检查。

1
figolu

在.Net 4.0及以后版本(通常情况下)中,将以下设置放在system.web中

<system.web>
     <httpRuntime requestValidationMode="2.0" />
1
Kiran Chaudhari

在我的情况下,使用asp:Textbox控件(Asp.net 4.5),而不是设置validateRequest="false" 的所有页面我用过 

<asp:TextBox runat="server" ID="mainTextBox"
            ValidateRequestMode="Disabled"
 ></asp:TextBox>

在导致异常的文本框上。

0
maozx

一个办法

我不想关闭帖子验证(validateRequest =“false”)。另一方面,应用程序因为无辜的用户碰巧输入<x之类而崩溃是不可接受的。 

因此我编写了一个客户端javascript函数(xssCheckValidates)进行初步检查。当尝试发布表单数据时调用此函数,如下所示:

<form id="form1" runat="server" onsubmit="return xssCheckValidates();">

该功能非常简单,可以改进,但它正在完成它的工作。

请注意,这样做的目的不是为了保护系统免受黑客入侵,而是为了保护用户免受糟糕的体验。在服务器上完成的请求验证仍然打开,这是(部分)系统的保护(在能够做到这一点的程度)。 

我在这里说“部分”的原因是因为我听说内置请求验证可能不够,所以可能需要其他补充手段才能获得全面保护。但是,再次,我在这里提出的javascript函数有 nothing 与保护系统有关。它是 only 意味着确保用户不会有糟糕的体验。

你可以在这里试试:

    function xssCheckValidates() {
      var valid = true;
      var inp = document.querySelectorAll(
          "input:not(:disabled):not([readonly]):not([type=hidden])" +
          ",textarea:not(:disabled):not([readonly])");
      for (var i = 0; i < inp.length; i++) {
        if (!inp[i].readOnly) {
          if (inp[i].value.indexOf('<') > -1) {
            valid = false;
            break;
          }
          if (inp[i].value.indexOf('&#') > -1) {
            valid = false;
            break;
          }
        }
      }
      if (valid) {
        return true;
      } else {
        alert('In one or more of the text fields, you have typed\r\nthe character "<" or the character sequence "&#".\r\n\r\nThis is unfortunately not allowed since\r\nit can be used in hacking attempts.\r\n\r\nPlease edit the field and try again.');
        return false;
      }
    }
<form onsubmit="return xssCheckValidates();" >
  Try to type < or &# <br/>
  <input type="text" /><br/>
  <textarea></textarea>
  <input type="submit" value="Send" />
</form>

0
Magnus

使用Server.HtmlEncode("yourtext");

0
Voigt

我看到有很多关于这个的文章...我没有看到这提到。[。_____。]自.NET Framework 4.5以来一直可用

ValidateRequestMode 控件的设置是一个很好的选择。[。_____。]这样,页面上的其他控件仍然受到保护。 不需要更改web.config。

 protected void Page_Load(object sender, EventArgs e)
    {
             txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
    }
0
Chris Catignani