`
tangyu365
  • 浏览: 22055 次
  • 性别: Icon_minigender_1
  • 来自: 广州
社区版块
存档分类
最新评论

asp.net “从客户端检测到有潜在危险的Request.Form值” 处理办法(转)

阅读更多
asp.net开发中,经常遇到“从客户端检测到有潜在危险的Request.Form 值”错误提示,很多人给出的解决方案是:

1、web.config文档<system.web>后面加入这一句: <pages validaterequest="false"/>
示例:
<?xml version="1.0" encoding="gb2312" ?>
<configuration>
<system.web>
<pages validaterequest="false"/>
</system.web>
</configuration>

2、在*.aspx文档头的page中加入validaterequest="false",示例如下:
<%@ page validaterequest="false" language="c#" codebehind="index.aspx.cs" autoeventwireup="false" inherits="mybbs.webform1" %>

其实这样做是不正确的,会给程序安全带来风险。

  ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。这是ASP.Net提供的一个很重要的安全特性。因为很多程序员对安全没有概念,甚至都不知道XSS这种攻击的存在,知道主动去防护的就更少了。ASP.Net在这一点上做到默认安全。这样让对安全不是很了解的程序员依旧可以写出有一定安全防护能力的网站。

  但是,当我Google搜索 HttpRequestValidationException 或者 "A potentially dangerous Request.Form value was detected from the client"的时候,惊奇的发现大部分人给出的解决方案竟然是在ASP.Net页面描述中通过设置 validateRequest=false 来禁用这个特性,而不去关心那个程序员的网站是否真的不需要这个特性。看得我这叫一个胆战心惊。安全意识应该时时刻刻在每一个程序员的心里,不管你对安全的概念了解多少,一个主动的意识在脑子里,你的站点就会安全很多。

  为什么很多程序员想要禁止 validateRequest 呢?有一部分是真的需要用户输入"<>"之类的字符。这就不必说了。还有一部分其实并不是用户允许输入那些容易引起XSS的字符,而是讨厌这种报错的形式,毕竟一大段英文加上一个ASP.Net典型异常错误信息,显得这个站点出错了,而不是用户输入了非法的字符,可是自己又不知道怎么不让它报错,自己来处理报错。

  对于希望很好的处理这个错误信息,而不使用默认ASP.Net异常报错信息的程序员们,你们不要禁用validateRequest=false。

  正确的做法是在你当前页面添加Page_Error()函数,来捕获所有页面处理过程中发生的而没有处理的异常。然后给用户一个合法的报错信息。如果当前页面没有Page_Error(),这个异常将会送到Global.asax的Application_Error()来处理,你也可以在那里写通用的异常报错处理函数。如果两个地方都没有写异常处理函数,才会显示这个默认的报错页面呢。

  举例而言,处理这个异常其实只需要很简短的一小段代码就够了。在页面的Code-behind页面中加入这么一段代码:


protected void Page_Error(object sender, EventArgs e)
{
Exception ex = Server.GetLastError();
if (HttpContext.Current.Server.GetLastError() is HttpRequestValidationException)
{
HttpContext.Current.Response.Write("请输入合法的字符串【<a href=\"javascript:history.back(0);\">返回</a>】");
HttpContext.Current.Server.ClearError();
}
}
这样这个程序就可以截获 HttpRequestValidationException 异常,而且可以按照程序员的意愿返回一个合理的报错信息。

  这段代码很简单,所以我希望所有不是真的要允许用户输入之类字符的朋友,千万不要随意的禁止这个安全特性,如果只是需要异常处理,那么请用类似于上面的代码来处理即可。

  而对于那些通过 明确禁止了这个特性的程序员,自己一定要明白自己在做什么,而且一定要自己手动的检查必须过滤的字符串,否则你的站点很容易引发跨站脚本攻击。

  关于存在Rich Text Editor的页面应该如何处理?

  如果页面有富文本编辑器的控件的,那么必然会导致有类的HTML标签提交回来。在这种情况下,我们不得不将validateRequest="false"。那么安全性怎么处理?如何在这种情况下最大限度的预防跨站脚本攻击呢?

  根据微软的建议,我们应该采取安全上称为“默认禁止,显式允许”的策略。

  首先,我们将输入字符串用 HttpUtility.HtmlEncode()来编码,将其中的HTML标签彻底禁止。

  然后,我们再对我们所感兴趣的、并且是安全标签,通过Replace()进行替换。比如,我们希望有""标签,那么我们就将""显式的替换回""。


void submitBtn_Click(object sender, EventArgs e)
{
//将输入字符串编码,这样所有的HTML标签都失效了。
StringBuilder sb = new StringBuilder(HttpUtility.HtmlEncode(htmlInputTxt.Text));
//然后我们选择性的允许<b> 和 <i>
sb.Replace("&lt;b&gt;", "<b>");
sb.Replace("&lt;/b&gt;", "</b>");
sb.Replace("&lt;i&gt;", "<i>");
sb.Replace("&lt;/i&gt;", "</i>");
Response.Write(sb.ToString());
}

这样我们即允许了部分HTML标签,又禁止了危险的标签。

根据微软提供的建议,我们要慎重允许下列HTML标签,因为这些HTML标签都是有可能导致跨站脚本攻击的。


<applet>
<body>
<embed>
<frame>
<script>
<frameset>
<html>
<iframe>
<img>
<style>
<layer>
<link>
<ilayer>
<meta>
<object>


可能这里最让人不能理解的是<img>。但是,看过下列代码后,就应该明白其危险性了。
<img src="javascript:alert('hello');">
分享到:
评论

相关推荐

    ASP.NET从客户端中检测到有潜在危险的request.form值的3种解决方法

    当页面编辑或运行提交时,出现“从客户端中检测到有潜在危险的request.form值”问题,该怎么办呢?如下图所示: 下面博主汇总出现这种错误的几种解决方法: 问题原因:由于在asp.net中,Request提交时出现有html...

    asp.net中“从客户端中检测到有潜在危险的Request.Form值”错误的解决办法

    在***中,提交表单时系统可能会提示“从客户端中检测到有潜在危险的Request.Form值”的错误,这通常意味着***的请求验证特性检测到可能的跨站脚本攻击(XSS)。为了解决这个问题,我们需要理解***的请求验证机制,并...

    从客户端检测到有潜在危险的Request.Form值的asp.net代码

    总之,在***开发中处理“从客户端检测到有潜在危险的Request.Form值”时,必须要有强烈的安全意识,不建议关闭请求验证功能,而应该采用合适的方法来处理可能的XSS威胁,确保网站的安全性。对于异常的处理,应当根据...

    asp.net 从客户端中检测到有潜在危险的 Request.Form 值错误解

    ***程序运行时可能会遇到各种错误,其中之一就是由于请求验证过程发现客户端输入值存在潜在危险而导致的错误。这种错误是***安全功能的一部分,其目的是防止跨站脚本攻击(XSS)等安全漏洞。 在*** 1.1版本中,默认...

    潜在危险的 Request.Form 值

    **潜在危险的Request.Form值**指的是当客户端提交的数据包含某些特定模式或结构时,ASP.NET的默认安全机制会触发异常,认为这些数据可能是恶意的或不安全的。例如,在给定的部分内容中,异常信息表明“潜在危险的...

    asp.net网站安全从小做起与防范小结

    具体参考:从客户端检测到有潜在危险的Request.Form值,禁止提交html标记(&lt;&gt;等被转义成&lt;) 3、上传漏洞 解决办法:禁止上传目录的运行权限。只给读取权限。另外要禁止上传非法类型文件。不仅仅是aspx类型,...

    尝试围绕“潜在危险的Request.Form”捕获块

    在ASP.NET开发中,"潜在危险的Request.Form"是一个重要的安全话题。Request.Form对象用于接收HTTP POST请求中的数据,这通常包括用户通过表单提交的信息。然而,这种未经验证的数据可能会带来安全风险,如跨站脚本...

    ASP.NET通过HTML的上传文件标签来上传文件

    在ASP.NET中处理文件上传是常见的需求,尤其是在用户需要提交图片、文档或其他数据文件时。这篇博客文章“ASP.NET通过HTML的上传文件标签来上传文件”将引导我们了解如何在ASP.NET环境中实现文件上传功能。 首先,...

    .NET的SQL防注入

    System.Web.HttpContext.Current.Response.Write("&lt;scriptLanguage=JavaScript&gt;alert('ASP.NET(C#版)检测到非法操作\\n\\nBlog:http://hi.baidu.com/ahhacker86\\n\\nBy:aa&&JK1986');&lt;/"+"script&gt;"); System.Web....

    asp.net post/get方法运用webservice实现IP地址查询

    - ASP.NET Web Service返回的数据通常是XML格式,客户端可以通过解析这个XML来获取所需的信息。 5. ASP.NET Web服务的调用: - 在ASP.NET应用中,可以使用`WebClient`类或`HttpWebRequest`类来发送HTTP请求,调用...

    asp.net上传下载

    在ASP.NET中,文件上传和下载是常见的功能需求,尤其对于构建交互性强的Web应用程序至关重要。本项目"asp.net上传下载"旨在展示如何利用ASP.NET技术实现这些功能。以下是关于这个主题的详细解释: 1. **ASP.NET上传...

    asp.net文件上传示例分享

    首先,文件上传是Web应用程序中常见的功能之一,它允许用户选择一个或多个文件,然后将文件从客户端传输到服务器。在***中实现文件上传,通常有三种常用的方法: 方法一:使用Web控件*** ***的FileUpload控件是一种...

    asp.net mvc 4 web api 上传文件

    ASP.NET MVC 4 Web API 是一个强大的框架,用于构建RESTful服务,它可以处理各种类型的数据交换,包括文件上传。在Web API中实现文件上传功能,能够使得客户端应用程序(如Web应用、移动应用或桌面应用)能够方便地...

    ASP.NET的文件上传系统

    ASP.NET的文件上传系统是Web开发中的一个重要组成部分,它允许用户通过浏览器将本地文件传输到服务器。在ASP.NET框架中,文件上传功能是通过HTTP协议的多部分/表单数据(Multipart/form-data)实现的,这对于处理...

    在ASP.NET中防止注入攻击

    ### 在ASP.NET中防止注入攻击 #### 目的与重要性 在当今互联网时代,确保应用程序的安全至关重要。其中,防止注入攻击是维护Web应用程序安全的关键措施之一。ASP.NET作为广泛使用的Web开发框架,其安全性备受关注...

    ASP.NET教学讲义(吐血推荐)

    ### ASP.NET教学讲义知识点概览 #### 第一章:ASP.NET 和 Web 窗体 ...以上内容仅为ASP.NET教学讲义的部分章节知识点概览,针对每章节提供了详细的解释和示例,有助于读者全面理解ASP.NET的各项特性和最佳实践。

Global site tag (gtag.js) - Google Analytics