• ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效


    ASP.NET请求验证功能可以给我提供应用程序的安全保证,避免站点受到XSS的攻击。 但是在一些情况下,我们需要禁用这个功能,比如我们需要使用HtmlEditor来让用户输入一些HTML文本,这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest="false"。或者在MVC中,我们可以通过在 Controller或者Action上设置[ValidateRequest(false)]这个特性来达到禁用的上的。但是在当你把站点从旧版本升级 到ASP.NET 4.0后,你会发现,即使你这样做,仍然会提示你这样的一个异常“A potentially dangerous Request.Form value was detected from the client”。该如何来解决这个问题呢?

    在之前 的ASP.NET版本中,请求验证是默认启用的,但是它只对页面请求有效(请求.aspx页面),并且也只是在页面被请求时验证。但是在ASP.NET 4.0中,请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前,这也就意味着所有进入ASP.NET请求通道的 所有的HTTP请求都将会被进行请求内容合法性的验证,包括有的自定义HttpHandler,WebService请求,甚至于利用自定义Http Module进行自定义请求处理程序。

    请求验证处理被提前的后果就是导致我们在页面,或者Controller中设置 ValidateRequest=false,将会失效,无法阻止程序不去验证请求的输入内容了。因为这样做后,验证器无法得到请求的页面是否禁用了验证 请求,因为还没有实例化HttpHandler。并且在ASP.NET4.0中,并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考 虑,ASP.NET允许我们通过在web.config中配置使用ASP.NET 2.0的请求验证行为:<httpRuntime requestValidationMode=”2.0″ />。

    完全禁用或不禁用请求验证功能,对程序员来说都 不是特别方便。出现安全性和程序可用性考虑,一个折中的方案可能是自己写一个验证处理器,来过滤掉一些我们不希望出现的html标签,而不是一见 到”<>” 就害怕。因为XSS的一个很重要的标签是<script> ,那我们就可以通过写一个自定义的验证来过滤<script>,当看到用户提交这个标签就才报告非法输入,下面是一个示例源码

    以上段落可能会引起关于如何防止XSS攻击的歧义,特此删除。以下代码仅用于演示开发人员如何编写自定义的请求输入验证器,根据自己需要决定允许请求哪些数据:

     1 using System;
     2 using System.Text;
     3 using System.Collections.Generic;
     4 using System.Linq;
     5 using System.Web;
     6 using System.Web.Util;
     7 
     8 namespace SmartShop.Studio
     9 {
    10     public class CustomRequestValidation : RequestValidator
    11     {
    12         public CustomRequestValidation() { }
    13         protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    14         {
    15             // block script tags
    16             var idx = value.ToLower().IndexOf("<script");
    17             if (idx > -1)
    18             {
    19                 validationFailureIndex = idx;
    20                 return false;
    21             }
    22             else
    23             {
    24                 validationFailureIndex = 0;
    25                 return true;
    26             }
    27         }
    28     }
    29 }

    此时,我们在web.config中添加这个配置,让系统使用我们的自定义验证器进行验证:<httpRuntime requestValidationType=”Globals.CustomRequestValidation”/>。

    关于这个问题的相关资源:

    http://jefferytay.wordpress.com/2010/04/15/asp-net-4-breaking-changes-1-requestvalidationmode-cause-validaterequestfalse-to-fail/

    阿不 http://hjf1223.cnblogs.com
  • 相关阅读:
    安卓测试工具uiautomator无法打开失败报错解决方案
    python2 与 python3的区别
    linux下自动获取并安装软件包 apt-get 的命令介绍
    安全测试常用几个工具
    常用安全测试工具
    实时爬取上海快3的结果
    性能测试监控工具nmon安装及使用方法
    locust性能测试框架随笔
    adb常用命令
    App性能测试
  • 原文地址:https://www.cnblogs.com/armyant/p/2443028.html
Copyright © 2020-2023  润新知