从客户端XXX中检测到有潜在危险的 Request.Form值——终极解决方案

说明:ASP.NET 在请求中检测到包含潜在危险的数据，因为它可能包括 HTML 标记或脚本。该数据可能表示存在危及应用程序安全的尝试，如跨站点脚本攻击。如果此类型的输入适用于您的应用程序，则可包括明确允许的网页中的代码。有关详细信息，请参阅 http://go.microsoft.com/fwlink/?LinkID=212874。

异常详细信息:System.Web.HttpRequestValidationException: 从客户端(newsContent="<p>
后台测试后台测试</p>
")中检测到有潜在危险的 Request.Form 值。

出现这个情况通常都是由于在表单中输入了html标签。ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候，ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。这是ASP.Net提供的一个很重要的安全特性。因为很多程序员对安全没有概念，甚至都不知道XSS这种攻击的存在，知道主动去防护的就更少了。ASP.Net在这一点上做到默认安全。这样让对安全不是很了解的程序员依旧可以写出有一定安全防护能力的网站。

但是当某些特殊情况必须需要输入这些标签的时候就不希望报这个错误了。

于是就出现了下面些个解决方案。

解决方案一：
  在.aspx文件头中加入这句：

<%@ Page validateRequest="false" %>

   如果是ASP.NET MVC项目则在对应的action上面加上

[ValidateInput(false)]

  解决方案二：
  修改web.config文件:

<configuration> 
    <system.web> 
        <pages validateRequest="false" /> 
    </system.web> 
</configuration>

  因为validateRequest默认值为true。只要设为false即可。

在ASP.NET4.0的情况下，需要注意一点是：在Web.Config文件中的配置节</system.web>之前加上如下一句配置

<httpRuntime requestValidationMode="2.0" />

另外，这些方法虽然可以解决问题，但是却不是最佳的解决方案。

下面说说最好的方法

       正确的做法是在你当前页面添加Page_Error()函数，来捕获所有页面处理过程中发生的而没有处理的异常。然后给用户一个合法的报错信息。如果当前页面没有Page_Error()，这个异常将会送到Global.asax的Application_Error()来处理，你也可以在那里写通用的异常报错处理函数。如果两个地方都没有写异常处理函数，才会显示这个默认的报错页面呢。

　　举例而言，处理这个异常其实只需要很简短的一小段代码就够了。在页面的Code-behind页面中加入这么一段代码：

protectedvoid Page_Error(object sender, EventArgs e)
{
   Exception ex = Server.GetLastError();
if (HttpContext.Current.Server.GetLastError() is HttpRequestValidationException)
   {
       HttpContext.Current.Response.Write("请输入合法的字符串【<a href="javascript:history.back(0);">返回</a>】");
       HttpContext.Current.Server.ClearError();
   }
}

　　这样这个程序就可以截获 HttpRequestValidationException 异常，而且可以按照程序员的意愿返回一个合理的报错信息。

　　这段代码很简单，所以我希望所有不是真的要允许用户输入之类字符的朋友，千万不要随意的禁止这个安全特性，如果只是需要异常处理，那么请用类似于上面的代码来处理即可。

　　而对于那些通过 明确禁止了这个特性的程序员，自己一定要明白自己在做什么，而且一定要自己手动的检查必须过滤的字符串，否则你的站点很容易引发跨站脚本攻击。

关于存在Rich Text Editor的页面应该如何处理?

　　如果页面有富文本编辑器的控件的，那么必然会导致有类的HTML标签提交回来。在这种情况下，我们不得不将validateRequest="false"。那么安全性怎么处理?如何在这种情况下最大限度的预防跨站脚本攻击呢?

　　根据微软的建议，我们应该采取安全上称为“默认禁止，显式允许”的策略。

　　首先，我们将输入字符串用 HttpUtility.HtmlEncode()来编码，将其中的HTML标签彻底禁止。

　　然后，我们再对我们所感兴趣的、并且是安全标签，通过Replace()进行替换。比如，我们希望有""标签，那么我们就将""显式的替换回""。

void submitBtn_Click(object sender, EventArgs e)
{
//将输入字符串编码，这样所有的HTML标签都失效了。
   StringBuilder sb =new StringBuilder(HttpUtility.HtmlEncode(htmlInputTxt.Text));
//然后我们选择性的允许<b> 和 <i>
   sb.Replace("&lt;b&gt;", "<b>");
   sb.Replace("&lt;/b&gt;", "</b>");
   sb.Replace("&lt;i&gt;", "<i>");
   sb.Replace("&lt;/i&gt;", "</i>");
   Response.Write(sb.ToString());
}

 

这样我们即允许了部分HTML标签，又禁止了危险的标签。