每当用户在我的web应用程序中的页面中发布包含<或>的内容时,我都会引发此异常。
我不想因为有人在文本框中输入了字符而引发异常或使整个web应用程序崩溃,但我正在寻找一种优雅的方式来处理这一问题。
捕获异常并显示
出现错误,请返回并重新键入整个表单,但这次请不要使用<
我觉得不够专业。
禁用后验证(validateRequest=“false”)肯定可以避免此错误,但这会使页面容易受到许多攻击。
理想情况下:当发生包含HTML限制字符的回发时,表单集合中的回发值将自动进行HTML编码。因此,我的文本框的.Text属性将是<;html>;
有没有办法让我从处理者那里做到这一点?
当前回答
我认为你试图对所有发布的数据进行编码,这是从错误的角度来攻击它。
注意,“<”也可以来自其他外部源,如数据库字段、配置、文件、提要等。
此外,“<”本身并不危险。这只在特定的上下文中是危险的:当编写尚未编码为HTML输出的字符串时(因为XSS)。
在其他上下文中,不同的子字符串是危险的,例如,如果将用户提供的URL写入链接,则子字符串“javascript:”可能是危险的。另一方面,在SQL查询中插入字符串时,单引号字符是危险的,但如果它是从表单提交的名称的一部分或从数据库字段读取的名称,则完全安全。
底线是:你不能过滤危险字符的随机输入,因为任何字符在正确的情况下都可能是危险的。您应该在某些特定字符可能会变得危险的地方进行编码,因为它们交叉到具有特殊含义的不同子语言中。将字符串写入HTML时,应使用Server.HtmlEncode对HTML中具有特殊含义的字符进行编码。如果将字符串传递给动态SQL语句,则应编码不同的字符(或者更好,让框架使用准备好的语句等为您进行编码)。。
当您确定在传递字符串到HTML的任何地方都进行HTML编码时,请在<%@Page…%>中设置ValidateRequest=“false”.aspx文件中的指令。
在.NET4中,您可能需要做更多的工作。有时还需要将<httpRuntime requestValidationMode=“2.0”/>添加到web.config(参考)。
其他回答
这些建议对我都不起作用。无论如何,我不想关闭整个网站的这个功能,因为99%的时间我不希望我的用户在web表单上放置HTML。我刚刚创建了自己的变通方法,因为我是唯一一个使用这个特定应用程序的人。我在后面的代码中将输入转换为HTML并将其插入数据库。
我看到有很多关于这个的文章。。。我没有看到这一点。自.NET Framework 4.5以来,此功能一直可用
控件的ValidateRequestMode设置是一个很好的选项。这样,页面上的其他控件仍受保护。不需要更改web.config。
protected void Page_Load(object sender, EventArgs e)
{
txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
}
我最终在每次回发之前使用JavaScript检查您不想要的字符,例如:
<asp:Button runat="server" ID="saveButton" Text="Save" CssClass="saveButton" OnClientClick="return checkFields()" />
function checkFields() {
var tbs = new Array();
tbs = document.getElementsByTagName("input");
var isValid = true;
for (i=0; i<tbs.length; i++) {
if (tbs(i).type == 'text') {
if (tbs(i).value.indexOf('<') != -1 || tbs(i).value.indexOf('>') != -1) {
alert('<> symbols not allowed.');
isValid = false;
}
}
}
return isValid;
}
当然,我的页面主要是数据输入,很少有元素进行回发,但至少保留了它们的数据。
正如我对Sel回答的评论所指出的,这是我们对自定义请求验证器的扩展。
public class SkippableRequestValidator : RequestValidator
{
protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
{
if (collectionKey != null && collectionKey.EndsWith("_NoValidation"))
{
validationFailureIndex = 0;
return true;
}
return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);
}
}
尝试使用
服务器编码
and
Server.Html解码同时发送和接收。
