c# 从客户端检测到有潜在危险的Request.Form 值[VC/C++编程]

 

1、web.config文档<system.web>背面加入这一句: <pages validaterequest="false"/>

示例:

<?xml version="1.0" encoding="gb2312" ?>

<configuration>

<system.web>

<pages validaterequest="false"/>

</system.web>

</configuration>

 

2、在*.aspx文档头的page中加入validaterequest="false",示比方下:

<%@ page validaterequest="false" language="c#" codebehind="index.aspx.cs" autoeventwireup="false" inherits="mybbs.webform1" %>

 

其实这样做是不精确的,会给程序安全带来风险.

 

　　ASP.Net 1.1后引入了对提交表单自动查抄能否存在XSS(跨站脚本攻击)的本领.当用户试图用之类的输入影响页面返回后果的时刻,ASP.Net的引擎会引发一 个 HttpRequestValidationExceptioin.这是ASP.Net供应的一个很重要的安全特点.因为很多程序员对安全没有概念,乃至 都不知道XSS这种攻击的存在,知道主动去防护的就更少了.ASP.Net在这一点上做到默许安全.这样让对安全不是很理解的程序员仍旧可以写出有一定安 全防护本领的网站.

 

　　但是,当我Google搜索 HttpRequestValidationException 大概 "A potentially dangerous Request.Form value was detected from the client"的时刻,诧异的发现大部份人给出的办理筹划竟然是在ASP.Net页面描写中通过设置 validateRequest=false 来禁用这个特点,而不去关心那个程序员的网站能否真的不需求这个特点.看得我这叫一个胆战心惊.安全意识应当不时刻刻在每一个程序员的心里,不管你对安全 的概念理解多少,一个主动的意识在头脑里,你的站点就会安全很多.

 

　　为什么很多程序员想要禁止 validateRequest 呢?有一部份是真的需求用户输入"<>"之类的字符.这就没必要说了.还有一部份其实并非用户答应输入那些简单惹起XSS的字符,而是讨厌这 种报错的情势,毕竟一大段英文加上一个ASP.Net典型非常错误信息,显得这个站点出错了,而不是用户输入了不法的字符,但是自己又不知道怎么不让它报 错,自己来处理报错.

 

　　关于但愿很好的处理这个错误信息,而不利用默许ASP.Net非常报错信息的程序员们,你们不要禁用validateRequest=false.

 

　　精确的做法是在你当前页面增添Page_Error()函数,来捕捉全部页面处理历程中发生的而没有处理的非常.然后给用户一个合理的报错信 息.假如当前页面没有Page_Error(),这个非常将会送到Global.asax的Application_Error()来处理,你也可以在那 里写通用的非常报错处理函数.假如两个地方都没有写非常处理函数,才会显示这个默许的报错页面呢.

 

　　举例而言,处理这个非常其实只需求很简短的一小段代码就够了.在页面的Code-behind页面中加入这么一段代码:

 

 

protected void Page_Error(object sender, EventArgs e)

{

Exception ex = Server.GetLastError();

if (HttpContext.Current.Server.GetLastError() is HttpRequestValidationException)

{

HttpContext.Current.Response.Write("请输入合理的字符串【<a href=/"javascript:history.back(0);/">返回</a>】");

HttpContext.Current.Server.ClearError();

}

}

这样这个程序便可以截获 HttpRequestValidationException 非常,并且可以按照程序员的志愿返回一个公道的报错信息.

 

　　这段代码很简单,所以我但愿全部不是真的要答应用户输入之类字符的朋友,千万不要随便的禁止这个安全特点,假如只是需求非常处理,那么请用近似于上面的代码来处理便可.

 

　　而关于那些通过 明确禁止了这个特点的程序员,自己一定要懂得自己在做什么,并且一定要自己手动的查抄必须过滤的字符串,不然你的站点很简单引发跨站脚本攻击.

 

　　关于存在Rich Text Editor的页面应当若何处理?

 

　　假如页面有富文本编辑器的控件的,那么必定会招致有类的HTML标签提交回来.在这种情形下,我们不得不将validateRequest="false".那么安全性怎么处理?如安在这种情形下最大限度的预防跨站脚本攻击呢?

 

　　按照微软的倡议,我们应当采纳安全上称为“默许禁止,显式答应”的战略.

 

　　首先,我们将输入字符串用 HttpUtility.HtmlEncode()来编码,将此中的HTML标签完好禁止.

 

　　然后,我们再对我们所感爱好的、并且是安全标签,通过Replace()举行替换.比方,我们但愿有""标签,那么我们就将""显式的替换回"".

 

 

void submitBtn_Click(object sender, EventArgs e)

{

//将输入字符串编码,这样全部的HTML标签都失效了.

StringBuilder sb = new StringBuilder(HttpUtility.HtmlEncode(htmlInputTxt.Text));

//然后我们挑选性的答应<b> 和 <i>

sb.Replace("<b>", "<b>");

sb.Replace("</b>", "</b>");