参考资料:

ASP.NET 4.0中使用FreeTextBox和FCKeditor遇到安全问题警告的解决办法关于问题出现的原因说的很清楚

引言

本人在.NET 4.0+VS2010环境下调试一个ASP.NET
4.0程序时使用到富文本控件FreeTextBox
3.2.2。从网络上查询得到这个控件尽管被广泛使用,但是其相关的安全问题需要自行解决。

我的问题

我的问题是在VS2010中使用FreeTextBox
3.2.2用于辅助发送邮件主体内容时,系统出现如下的错误提示:

A potentially dangerous Request.Form. value was detected from the client
(FreeTextBox1="<H1>bbtest1</H1>").

Description:Request
Validation has detected a potentially dangerous client input value, and
processing of the request has been aborted. This value may indicate an attempt
to compromise the security of your
application, such as a cross-site scripting attack. To allow pages to override
application request validation settings, set the requestValidationMode attribute
in the httpRuntime configuration section to requestValidationMode="2.0".
Example: <httpRuntime requestValidationMode="2.0" />. After setting this
value, you can then disable request validation by setting
validateRequest="false" in the Page directive or in the <pages>
configuration section. However, it is strongly recommended that your application
explicitly check all inputs in this case. For more information, see
http://go.microsoft.com/fwlink/?LinkId=153133.

Exception
Details:
System.Web.HttpRequestValidationException: A potentially
dangerous Request.Form. value was detected from the client
(FreeTextBox1="<H1>bbtest1</H1>").

原因如上所示:我在邮件主体内容(即上面的富文本框中输入具有样式H1的测试文本“bbtest1”。

原因分析及解决办法

ASP.Net
1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个
HttpRequestValidationExceptioin。也就是说,页面请求(request)时,含有html或javascript等字符串时。ASP.NET会认为是危险的值,就会抛出辞异常。当页面上使用了所见即所得编辑器(例如使用了fckeditor或FreeTextBox控件等)的时候会发生此异常。以下三种方法是针对ASP.NET
2.0或ASP.NET 3.5环境下的解决办法。

解决方法一

在页面上加入
<% Page ValidateRequest="false"  %>

解决方法二

修改Web.Config配置文件的<pages>标签。<pages
validateRequest="false">...</pages>。这个方法会将所有的页面校验功能去掉,所以不推荐使用此方法。

解决方法三

捕获异常,这样你就可以自己来定义异常的提示方式。

 protected void Page_Error(object sender, EventArgs e)
{
Exception ex = Server.GetLastError();
if (ex is HttpRequestValidationException)
{
// Response.Write("<script language=javascript>alert('字符串含有非法字符!')</script>");
Server.ClearError(); // 如果不ClearError()这个异常会继续传到Application_Error()
//Response.Write("<script language=javascript>window.location.href='default.aspx';</script>");
}
}

ASP.NET 4.0请求验证模式发生变化

ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET
2.0允许我们可以通过在web.config设置validateRequest="false"。或者在MVC中,我们可以通过在
Controller或者Action上设置[ValidateRequest(false)]这个特性来达到禁用的上的。但是在当你把站点从旧版本升级到ASP.NET
4.0后,你会发现,即使你这样做,仍然会提示你这样的一个异常“A potentially dangerous Request.Form. value was
detected from the client”。该如何来解决这个问题呢?

在之前的ASP.NET版本中,请求验证是默认启用的,但是它只对页面请求有效(请求.aspx页面),并且也只是在页面被请求时验证。但是在ASP.NET
4.0中,请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前,这也就意味着所有进入ASP.NET请求通道的所有的HTTP请求都将会被进行请求内容合法性的验证,包括有的自定义HttpHandler,WebService请求,甚至于利用自定义Http
Module进行自定义请求处理程序。

请求验证处理被提前的后果就是导致我们在页面,或者Controller中设置
ValidateRequest=false,将会失效,无法阻止程序不去验证请求的输入内容了。因为这样做后,验证器无法得到请求的页面是否禁用了验证请求,因为还没有实例化HttpHandler。

在ASP.NET4.0中,并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑,ASP.NET允许我们通过在web.config中配置使用ASP.NET
2.0的请求验证行为:<httpRuntime requestValidationMode=”2.0″
/>。

关于FCKeditor

对于喜欢和FCKeditor的用户应当也会遇到类似于上述的问题。“百度知道”有如下的问题,请参考:



:<httpRuntime
requestValidationMode="2.0" />在哪设置?

使用FCKeditor后报错:
"从客户端中检测到有潜在危险的 Request.Form. 值."
设置了 ValidateRequest="false"后还是报同样错误: 说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。
该值可能指示存在危及应用程序安全的尝试,如跨站点脚本攻击。
若要允许页面重写应用程序请求验证设置,请将 httpRuntime 配置节中的 requestValidationMode 特性设置为 requestValidationMode="2.0"。
示例: <httpRuntime requestValidationMode="2.0" />。
设置此值后,可通过在 Page 指令或 <pages> 配置节中设置 validateRequest="false" 禁用请求验证。
但是,在这种情况下,强烈建议应用程序显式检查所有输入。

[转]从客户端中检测到有潜在危险的 Request.Form 值。的更多相关文章

  1. 从客户端中检测到有潜在危险的 request.form值[解决方法]

    当页面编辑或运行提交时,出现“从客户端中检测到有潜在危险的request.form值”问题,该怎么办呢?如下图所示: 下面博主汇总出现这种错误的几种解决方法:问题原因:由于在asp.net中,Requ ...

  2. 从客户端中检测到有潜在危险的Request.Form 值

    今天往MVC中加入了一个富文本编辑框,在提交信息的时候报了如下的错误:从客户端(Content="<EM ><STRONG ><U >这是测试这...&q ...

  3. 从客户端中检测到有潜在危险的Request.Form值的解决方法

    描述:从客户端中检测到有潜在危险的Request.Form值的解决方法asp.net 2.0 通常解决办法将.aspx文件中的page项添加ValidateRequest="false&qu ...

  4. 从客户端中检测到有潜在危险的Request.Form值 的解决方法

    在提交表单时候,asp.net 提示:"从客户端(......)中检测到有潜在危险的 Request.Form 值" .asp.net中的请求验证特性提供了某一等级的保护措施防止X ...

  5. ASP.NET MVC从客户端中检测到有潜在危险的 Request.Form 值

    ASP.NET MVC4(Razor)从客户端中检测到有潜在危险的 Request.Form 值 “/”应用程序中的服务器错误. 从客户端(Content=" sdfdddd ...&quo ...

  6. MVC中提示错误:从客户端中检测到有潜在危险的 Request.Form 值的详细解决方法

    今天往MVC中加入了一个富文本编辑框,在提交信息的时候报了如下的错误:从客户端(Content="<EM ><STRONG ><U >这是测试这...&q ...

  7. 当页面编辑或运行提交时,出现“从客户端中检测到有潜在危险的request.form值”问题,该怎么办呢?

    最近在学习highcharts时,关于其中的导出功能,本来是想把导出的图片存放在本地,发现只有在电脑联网的情况下才可以一下导出图片,后来查阅了一番资料,才发现highcharts中的导出默认的官网服务 ...

  8. ueditor 添加微软雅黑字体 异常“从客户端中检测到有潜在危险的 request.form值”,解决

    使用ueditor往数据库添加文本内容时,如果字体有css样式, <,>," 这些字符会导致报出异常信息:从客户端中检测到有潜在危险的 request.form值 因为这些字符有 ...

  9. 从客户端(******)中检测到有潜在危险的 Request.Form 值。

    在 提交表单时候,asp.net 提示:"从客户端(......)中检测到有潜在危险的 Request.Form 值" .asp.net中的请求验证特性提供了某一等级的保护措施防止 ...

  10. ASP.NET MVC4(Razor)从客户端中检测到有潜在危险的 Request.Form 值

    SP.NET MVC4(Razor)从客户端中检测到有潜在危险的 Request.Form 值 “/”应用程序中的服务器错误. 从客户端(Content=" sdfdddd ..." ...

随机推荐

  1. 如何从ST官网下载STM32标准库

    Frm:https://blog.csdn.net/k1ang/article/details/79645044

  2. 剑指offer第二版面试题11:旋转数组的最小数字(JAVA版)

    题目:把一个数组最开始的若干个元素搬到数组的末尾,我们称之为数组的旋转.输入一个递增排序的数组的一个旋转,输出旋转数组的最小元素.例如数组{3,4,5,1,2}为{1,2,3,4,5}的一个旋转,该数 ...

  3. Ibatis sql语句

    <?xml version="1.0" encoding="UTF-8" ?><!DOCTYPE sqlMap PUBLIC "-/ ...

  4. autocad 2015 破解方法

    下载 http://trial.autodesk.com/SWDLDNET4/2015/ACD/DLM/AutoCAD_2015_Simplified_Chinese_Win_64bit_dlm.sf ...

  5. 防止DDOS攻击有效方法:隐藏服务器真实IP

    如今,网站服务器的安全受到越来越多的重视,但是难免会遇到黑客使用DDoS攻击网站,为了网站的安全通常都会做好防御,其中防止DDoS攻击有效方法:隐藏服务器真实IP ,该技术能够有效地保护网站的安全. ...

  6. java中equse和==做比较记录(转)

    String使用的equals方法和==的区别 equals方法和==的区别   首先大家知道,String既可以作为一个对象来使用,又可以作为一个基本类型来使用.这里指的作为一个基本类型来使用只是指 ...

  7. Javascript原型对象中的toString

    <script> //tostring function Person(name,age,gender){ this.name=name; this.age=age; this.gende ...

  8. wget 下载文件

    # -c 继续执行上次终端的任务# --http-user http用户名# --http-passwd http密码# --no-check-certificate 不检查ssl/tsl证书. wg ...

  9. html标签注意事项

    1,关于媒体的video标签 在同一个页面上如果有多个video标签,并且初始化都赋值,则video不会播放, 解决办法,用计时器每隔50ms给后面的video标签设置src,设置完为止 2,关于ch ...

  10. jq-demo-在列表中添加新节点,点击删除

    <!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...