Почему потенциально опасная ошибка запроса даже ValidateRequest = false - PullRequest
Новая
       22

Почему потенциально опасная ошибка запроса даже ValidateRequest = false

7 голосов
/ 25 января 2012

Вот мой Default.aspx 

<%@ Page Language="C#" AutoEventWireup="true"  CodeFile="Default.aspx.cs" Inherits="_Default" ValidateRequest="false" %>
<html>
    <head runat="server">
        <title>xss demonstration</title>
    </head>
    <body>
        <form id="form1" runat="server">
        <div>
            We are looking for your feedback. 
            <asp:TextBox ID="txtFeedback" runat="server" TextMode="MultiLine" />
            <br />
            <asp:Button ID="submit" runat="server" Text="Submit" onclick="submit_Click" />
            <br />
            Comment: 
            <br />
            <asp:Literal ID="ltlFeedback" runat="server" />
        </div>
        </form>
    </body>
</html>

А ниже - Default.aspx.cs 

public partial class _Default : System.Web.UI.Page 
{
    protected void submit_Click(object sender, EventArgs e)
    {
        this.ltlFeedback.Text = this.txtFeedback.Text;
    }
}

Когда я запускаю приложение и введите следующее в текстовое поле. 

<script>alert('Hello')</script>

Я получаю следующую ошибку.

Потенциально опасное значение Request.Form обнаружено клиентом (txtFeedback = "alert ('Hello ...").

У меня вопрос, почему я получаю эту ошибку, даже если для параметра ValidateRequest на странице установлено значение false?

Ответы [ 3 ]

13 голосов
/ 25 января 2012

В .net framework 4.0 вы должны установить <httpRuntime requestValidationMode="2.0"/> разметку в web.config. 

<system.web>
     <compilation debug="false" targetFramework="4.0" />
     <httpRuntime requestValidationMode="2.0"/>
</system.web>

Взгляните на справочную статью - ASP.NET 4 Срочные изменения # 1: requestValidationMode reason ValidateRequest = False to fail .

0 голосов
/ 09 июля 2019

Отключить ValidateRequest на всех страницах, полученных через Server.Execute

Недавно я столкнулся с довольно эзотерической версией этой ошибки. Чтобы включить общий контент на страницы разных сайтов, я звоню Server.Execute на другую страницу ASPX. По умолчанию Server.Execute перенаправляет данные POST в дочерний запрос, поэтому этой странице также необходимо ValidateRequest="false".

Пока установлено <httpRuntime requestValidationMode="2.0"/> в web.config, трассировка стека исключения будет указывать, какой класс страниц вызвал ошибку.

0 голосов
/ 14 февраля 2014

вам просто нужно добавить следующий код в вашу веб-конфигурацию 

   <system.web>
         <compilation debug="false" targetFramework="4.0" />
         <httpRuntime requestValidationMode="2.0"/>
 </system.web>

, но позаботьтесь об этом, вы можете стать жертвой атаки межсайтового скриптинга

...