1590 Stimmen

Radu094 avatar

Ein potenziell gefährlicher Request.Form-Wert wurde vom Client erkannt

Gefragt el 17 de September, 2008
Wann wurde die Frage gestellt
1081730 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Jedes Mal, wenn ein Nutzer einen Beitrag mit < ou > in einer Seite in meiner Webanwendung, bekomme ich diese Ausnahme ausgelöst.

Ich möchte nicht in die Diskussion über die Klugheit des Auslösens einer Ausnahme oder des Absturzes einer gesamten Webanwendung gehen, weil jemand ein Zeichen in ein Textfeld eingegeben hat, aber ich suche nach einer eleganten Möglichkeit, dies zu behandeln.

Abfangen der Ausnahme und Anzeigen

Es ist ein Fehler aufgetreten. Bitte gehen Sie zurück und geben Sie das gesamte Formular noch einmal ein, aber verwenden Sie dieses Mal bitte nicht <

scheint mir nicht professionell genug zu sein.

Deaktivieren der Nachvalidierung ( validateRequest="false" ) wird dieser Fehler definitiv vermieden, aber die Seite ist dadurch anfällig für eine Reihe von Angriffen.

Idealerweise: Wenn eine Rückmeldung erfolgt, die in HTML eingeschränkte Zeichen enthält, wird der gepostete Wert in der Formularsammlung automatisch HTML-kodiert. So wird der .Text Eigenschaft meines Textfeldes wird sein something & lt; html & gt;

Gibt es eine Möglichkeit, wie ich dies von einem Handler aus tun kann?

Gefragt el 17 de September, 2008 von Radu094

76 Stimmen

Avatar von Drew Noakes

Beachten Sie, dass dieser Fehler auch auftreten kann, wenn Sie HTML-Entitätsnamen (&) oder Entitätsnummern (') in Ihrer Eingabe haben.

Kommentiert el 14 de Oktober, 2010 von Drew Noakes

32 Stimmen

Avatar von Radu094

Nun, da es meine Frage ist, glaube ich, dass ich definieren kann, worum es eigentlich geht: einen ganzen Anwendungsprozess zum Absturz zu bringen und eine allgemeine Fehlermeldung auszugeben, weil jemand ein "<" eingegeben hat, ist übertrieben. Vor allem, weil man weiß, dass die meisten Leute einfach 'validateRequest=false' eingeben werden, um es loszuwerden, und damit die Schwachstelle wieder aufreißen

Kommentiert el 18 de September, 2014 von Radu094

10 Stimmen

Avatar von Gyum Fox

@DrewNoakes: Entitätsnamen (&) scheinen nach meinen Tests (getestet in .Net 4.0) kein Problem zu sein, obwohl Entitätsnummern (') die Validierung nicht bestehen (wie Sie sagten). Wenn Sie die Methode System.Web.CrossSiteScriptingValidation.IsDangerousString mit dem .Net Reflector zerlegen, werden Sie sehen, dass der Code speziell nach html-Tags (beginnend mit <) und Entity-Nummern (beginnend mit &#) sucht

Kommentiert el 6 de Kann, 2015 von Gyum Fox
Anzeigen 3 weitere Kommentare

Antworten

Zu viele Anzeigen?

75voto

gligoran avatar
gligoran Punkte 3077

Die vorherigen Antworten sind großartig, aber niemand hat gesagt, wie man ein einzelnes Feld von der Überprüfung auf HTML/JavaScript-Injektionen ausschließen kann. Ich weiß nicht, über frühere Versionen, aber in MVC3 Beta können Sie dies tun:

[HttpPost, ValidateInput(true, Exclude = "YourFieldName")]
public virtual ActionResult Edit(int id, FormCollection collection)
{
    ...
}

Dadurch werden immer noch alle Felder außer dem ausgeschlossenen validiert. Das Schöne daran ist, dass Ihre Validierungsattribute das Feld immer noch validieren, aber Sie erhalten einfach nicht die Ausnahmen "Ein potenziell gefährlicher Request.Form-Wert wurde vom Client erkannt".

Ich habe dies zur Validierung eines regulären Ausdrucks verwendet. Ich habe mein eigenes ValidationAttribute erstellt, um zu sehen, ob der reguläre Ausdruck gültig ist oder nicht. Da reguläre Ausdrücke etwas enthalten können, das wie ein Skript aussieht, habe ich den obigen Code angewendet - der reguläre Ausdruck wird immer noch daraufhin überprüft, ob er gültig ist oder nicht, aber nicht darauf, ob er Skripte oder HTML enthält.

Beantwortet el 6 de November, 2010 von gligoran (3077 Punkte )

11 Stimmen

Avatar von Matt Greer

Leider sieht es so aus, dass die Exclude-Funktion aus MVC 3 RTW entfernt wurde :(

Kommentiert el 23 de Marsch, 2011 von Matt Greer

3 Stimmen

Avatar von wilsjd

Sie wurde auch nicht in MVC 4 aufgenommen.

Kommentiert el 27 de Juni, 2013 von wilsjd

10 Stimmen

Avatar von Mrchief

使用方法 [AllowHtml] auf die Eigenschaften des Modells anstelle von [ValidateInput] auf die Aktion, um das gleiche Ergebnis zu erzielen.

Kommentiert el 25 de Marsch, 2014 von Mrchief
Anzeigen 4 weitere Kommentare

55voto

ranthonissen avatar
ranthonissen Punkte 1435

In ASP.NET MVC müssen Sie requestValidationMode="2.0" und validateRequest="false" in web.config festlegen und ein ValidateInput-Attribut auf Ihre Controller-Aktion anwenden:

<httpRuntime requestValidationMode="2.0"/>

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

y

[Post, ValidateInput(false)]
public ActionResult Edit(string message) {
    ...
}
Beantwortet el 30 de November, 2010 von ranthonissen (1435 Punkte )

3 Stimmen

Avatar von tom redfern

Für mich, validateRequest="false" war nicht notwendig, nur requestValidationMode="2.0"

Kommentiert el 2 de Oktober, 2012 von tom redfern

0 Stimmen

Avatar von MC9000

RequestValidationMode="2.0" erzeugt immer noch den Fehler mit HTML-kodierten Daten. Keine Lösung, außer alles mit base64 zu kodieren und es dann zu senden.

Kommentiert el 13 de Juni, 2015 von MC9000

51voto

Pavel Chuchuva avatar
Pavel Chuchuva Punkte 21957

Sie können HTML kodieren Inhalt des Textfeldes, aber leider verhindert das nicht, dass die Ausnahme auftritt. Meiner Erfahrung nach gibt es keinen Ausweg, und Sie müssen die Seitenvalidierung deaktivieren. Damit sagen Sie: "Ich bin vorsichtig, ich verspreche es."

Beantwortet el 17 de September, 2008 von Pavel Chuchuva (21957 Punkte )

50voto

flakomalo avatar
flakomalo Punkte 690

Die Antwort auf diese Frage ist einfach:

var varname = Request.Unvalidated["parameter_name"];

Dadurch wird die Validierung für die jeweilige Anfrage deaktiviert.

Beantwortet el 25 de April, 2013 von flakomalo (690 Punkte )

1 Stimmen

Avatar von Beska

Gilt nur für ASP.NET 4.5 (und vermutlich alles, was danach kommt). Vor 4.5 wird dies nicht unterstützt.

Kommentiert el 4 de November, 2014 von Beska

3 Stimmen

Avatar von Chris Gillum

Ich wünschte, ich könnte diesen Weg nach oben stoßen. Ich bin mit .NET 4.5 und das ist genau das, was ich brauchte, da ich nicht mit MVC und ich kann nicht die web.config ändern.

Kommentiert el 18 de November, 2014 von Chris Gillum

1 Stimmen

Avatar von Fandango68

Ja, aber was ist, wenn Sie .Net 2 verwenden? Einige von uns haben keine Wahl

Kommentiert el 18 de Marsch, 2015 von Fandango68
Anzeigen 3 weitere Kommentare

46voto

BenMaddox avatar
BenMaddox Punkte 1740

Sie können diesen Fehler in Global.asax abfangen. Ich möchte trotzdem validieren, aber eine entsprechende Meldung anzeigen. Auf dem unten aufgeführten Blog war ein Beispiel wie dieses verfügbar.

    void Application_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();

        if (ex is HttpRequestValidationException)
        {
            Response.Clear();
            Response.StatusCode = 200;
            Response.Write(@"[html]");
            Response.End();
        }
    }

Die Weiterleitung auf eine andere Seite scheint auch eine angemessene Reaktion auf die Ausnahme zu sein.

http://www.romsteady.net/blog/2007/06/how-to-catch-httprequestvalidationexcep.html

Beantwortet el 14 de Oktober, 2009 von BenMaddox (1740 Punkte )

0 Stimmen

Avatar von fish-404

Diese Seite scheint sich zu bewegen romsteady.blogspot.com/2007/06/

Kommentiert el 8 de April, 2022 von fish-404

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X