从客户端中检测到有潜在危险的Request.Form值的详细解决方案

get='_blank'>ASP.Net1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候，ASP.Net的引擎会引发一个HttpRequestValidationExceptioin。默认情况下会返回如下文字的页面： 以下是引用片段：但是，当我Google搜索HttpRequestValidationException或者"ApotentiallydangerousRequest.Formvaluewasdetectedfromtheclient"的时候，惊奇的发现大部分人给出的解决方案竟然是在ASP.Net页面描述中通过设置validateRequest=false来禁用这个特性，而不去关心那个程序员的网站是否真的不需要这个特性。看得我这叫一个胆战心惊。安全意识应该时时刻刻在每一个程序员的心里，不管你对安全的概念了解多少，一个主动的意识在脑子里，你的站点就会安全很多。为什么很多程序员想要禁止validateRequest呢?有一部分是真的需要用户输入"<>"之类的字符。这就不必说了。还有一部分其实并不是用户允许输入那些容易引起XSS的字符，而是讨厌这种报错的形式，毕竟一大段英文加上一个ASP.Net典型异常错误信息，显得这个站点出错了，而不是用户输入了非法的字符，可是自己又不知道怎么不让它报错，自己来处理报错。正确的做法是在你当前页面添加Page_Error()函数，来捕获所有页面处理过程中发生的而没有处理的异常。然后给用户一个合法的报错信息。如果当前页面没有Page_Error()，这个异常将会送到Global.asax的Application_Error()来处理，你也可以在那里写通用的异常报错处理函数。如果两个地方都没有写异常处理函数，才会显示这个默认的报错页面呢。举例而言，处理这个异常其实只需要很简短的一小段代码就够了。而对于那些通过明确禁止了这个特性的程序员，自己一定要明白自己在做什么，而且一定要自己手动的检查必须过滤的字符串，否则你的站点很容易引发跨站脚本攻击。关于存在RichTextEditor的页面应该如何处理?示例代码如下：

voidsubmitBtn_Click(objectsender,EventArgse){  //将输入字符串编码，这样所有的HTML标签都失效了。  StringBuildersb=newStringBuilder(  HttpUtility.HtmlEncode(htmlInputTxt.Text));  //然后我们选择性的允许<b>和<i>  sb.Replace("&lt;b&gt;","<b>");  sb.Replace("&lt;/b&gt;","");  sb.Replace("&lt;i&gt;","<i>");  sb.Replace("&lt;/i&gt;","");  Response.Write(sb.ToString());}

海外公司注册、海外银行开户、跨境平台代入驻、VAT、EPR等知识和在线办理：https://www.xlkjsw.com

原标题：从客户端中检测到有潜在危险的Request.Form值的详细解决方案

关键词：