1590 Stimmen

Radu094 avatar

Ein potenziell gefährlicher Request.Form-Wert wurde vom Client erkannt

Gefragt el 17 de September, 2008
Wann wurde die Frage gestellt
1081731 Ansichten
Anzahl der Besuche der Frage
5 Antworten
Anzahl der Fragenantworten
Gelöst
Aktueller Status der Frage

Jedes Mal, wenn ein Nutzer einen Beitrag mit < ou > in einer Seite in meiner Webanwendung, bekomme ich diese Ausnahme ausgelöst.

Ich möchte nicht in die Diskussion über die Klugheit des Auslösens einer Ausnahme oder des Absturzes einer gesamten Webanwendung gehen, weil jemand ein Zeichen in ein Textfeld eingegeben hat, aber ich suche nach einer eleganten Möglichkeit, dies zu behandeln.

Abfangen der Ausnahme und Anzeigen

Es ist ein Fehler aufgetreten. Bitte gehen Sie zurück und geben Sie das gesamte Formular noch einmal ein, aber verwenden Sie dieses Mal bitte nicht <

scheint mir nicht professionell genug zu sein.

Deaktivieren der Nachvalidierung ( validateRequest="false" ) wird dieser Fehler definitiv vermieden, aber die Seite ist dadurch anfällig für eine Reihe von Angriffen.

Idealerweise: Wenn eine Rückmeldung erfolgt, die in HTML eingeschränkte Zeichen enthält, wird der gepostete Wert in der Formularsammlung automatisch HTML-kodiert. So wird der .Text Eigenschaft meines Textfeldes wird sein something & lt; html & gt;

Gibt es eine Möglichkeit, wie ich dies von einem Handler aus tun kann?

Gefragt el 17 de September, 2008 von Radu094

76 Stimmen

Avatar von Drew Noakes

Beachten Sie, dass dieser Fehler auch auftreten kann, wenn Sie HTML-Entitätsnamen (&) oder Entitätsnummern (') in Ihrer Eingabe haben.

Kommentiert el 14 de Oktober, 2010 von Drew Noakes

32 Stimmen

Avatar von Radu094

Nun, da es meine Frage ist, glaube ich, dass ich definieren kann, worum es eigentlich geht: einen ganzen Anwendungsprozess zum Absturz zu bringen und eine allgemeine Fehlermeldung auszugeben, weil jemand ein "<" eingegeben hat, ist übertrieben. Vor allem, weil man weiß, dass die meisten Leute einfach 'validateRequest=false' eingeben werden, um es loszuwerden, und damit die Schwachstelle wieder aufreißen

Kommentiert el 18 de September, 2014 von Radu094

10 Stimmen

Avatar von Gyum Fox

@DrewNoakes: Entitätsnamen (&) scheinen nach meinen Tests (getestet in .Net 4.0) kein Problem zu sein, obwohl Entitätsnummern (') die Validierung nicht bestehen (wie Sie sagten). Wenn Sie die Methode System.Web.CrossSiteScriptingValidation.IsDangerousString mit dem .Net Reflector zerlegen, werden Sie sehen, dass der Code speziell nach html-Tags (beginnend mit <) und Entity-Nummern (beginnend mit &#) sucht

Kommentiert el 6 de Kann, 2015 von Gyum Fox
Anzeigen 3 weitere Kommentare

Antworten

Zu viele Anzeigen?

43voto

A.Dara avatar
A.Dara Punkte 784

Bei MVC ignorieren Sie die Eingabevalidierung, indem Sie

[ValidateInput(false)]

über jeder Aktion im Controller.

Beantwortet el 29 de Januar, 2014 von A.Dara (784 Punkte )

0 Stimmen

Avatar von PandaWood

Dies scheint nicht zu funktionieren, wenn die Methode des Controllers über eine konfigurierte Route erreicht wird.

Kommentiert el 24 de Marsch, 2016 von PandaWood

0 Stimmen

Avatar von PandaWood

Die technische Erklärung ist, dass dies nur funktioniert, wenn das beanstandete Zeichen in der "Abfragezeichenfolge" enthalten ist... wenn es im Anforderungspfad enthalten ist, Validierungsattribut nicht Arbeit

Kommentiert el 24 de Marsch, 2016 von PandaWood

36voto

Nicht registrierter Benutzer avatar
Nicht registrierter Benutzer Punkte 0

Bitte beachten Sie, dass einige .NET-Steuerelemente die Ausgabe automatisch HTML-kodieren. Wenn Sie zum Beispiel die Eigenschaft .Text auf einem TextBox-Steuerelement setzen, wird es automatisch kodiert. Das bedeutet konkret die Konvertierung von < in &lt; , > in &gt; y & in &amp; . Seien Sie also vorsichtig, wenn Sie das tun...

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

Die .Text-Eigenschaft für HyperLink, Literal und Label kodiert jedoch nicht in HTML, so dass Sie alles, was in diesen Eigenschaften festgelegt wird, mit Server.HtmlEncode(); umschließen müssen, wenn Sie verhindern wollen, dass <script> window.location = "http://www.google.com"; </script> vor der Ausgabe auf Ihrer Seite und der anschließenden Ausführung.

Experimentieren Sie ein wenig, um zu sehen, was kodiert wird und was nicht.

Beantwortet el 17 de September, 2008 von Nicht registrierter Benutzer (0 Punkte )

30voto

Mahdi jokar avatar
Mahdi jokar Punkte 1237

Fügen Sie in der Datei web.config innerhalb der Tags das Element httpRuntime mit dem Attribut requestValidationMode="2.0" ein. Fügen Sie außerdem das Attribut validateRequest="false" in das Element pages ein.

Beispiel:

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>
Beantwortet el 14 de Marsch, 2012 von Mahdi jokar (1237 Punkte )

1 Stimmen

Avatar von tom redfern

Für mich war validateRequest="false" nicht notwendig, nur requestValidationMode="2.0"

Kommentiert el 2 de Oktober, 2012 von tom redfern

3 Stimmen

Avatar von Carter Medlin

Der Abschnitt "Seiten" muss sich innerhalb des Abschnitts "system.web" befinden.

Kommentiert el 27 de November, 2012 von Carter Medlin

0 Stimmen

Avatar von MC9000

Eine gefährliche Antwort, wieder einmal.

Kommentiert el 13 de Juni, 2015 von MC9000
Anzeigen 1 weitere Kommentare

25voto

Nicht registrierter Benutzer avatar
Nicht registrierter Benutzer Punkte 0

Wenn Sie ValidateRequest nicht deaktivieren wollen, müssen Sie eine JavaScript-Funktion implementieren, um die Ausnahme zu vermeiden. Das ist nicht die beste Option, aber sie funktioniert.

function AlphanumericValidation(evt)
{
    var charCode = (evt.charCode) ? evt.charCode : ((evt.keyCode) ? evt.keyCode :
        ((evt.which) ? evt.which : 0));

    // User type Enter key
    if (charCode == 13)
    {
        // Do something, set controls focus or do anything
        return false;
    }

    // User can not type non alphanumeric characters
    if ( (charCode <  48)                     ||
         (charCode > 122)                     ||
         ((charCode > 57) && (charCode < 65)) ||
         ((charCode > 90) && (charCode < 97))
       )
    {
        // Show a message or do something
        return false;
    }
}

Fügen Sie dann im nachfolgenden Code beim PageLoad-Ereignis das Attribut zu Ihrem Steuerelement mit dem folgenden Code hinzu:

Me.TextBox1.Attributes.Add("OnKeyPress", "return AlphanumericValidation(event);")
Beantwortet el 12 de Januar, 2009 von Nicht registrierter Benutzer (0 Punkte )

5 Stimmen

Avatar von Radu094

Dadurch bleibt die Anwendung weiterhin anfällig für gefälschte POST-Anfragen. Ein normaler Benutzer wird Probleme haben, Zeichen wie , : oder Anführungszeichen einzugeben, aber ein normaler Hacker wird keine Probleme haben, missgestaltete Daten an den Server zu POSTen. Ich würde das sehr weit herunterfahren.

Kommentiert el 26 de Oktober, 2009 von Radu094

15 Stimmen

Avatar von jbehren

@Radu094: Diese Lösung erlaubt es Ihnen, ValidateRequest=true beizubehalten, was bedeutet, dass Hacker immer noch auf diese Mauer treffen werden. Stimmen Sie für UP, da dies Sie weniger verwundbar macht als das Ausschalten von ValidateRequest.

Kommentiert el 17 de August, 2011 von jbehren

22voto

Sel avatar
Sel Punkte 1834

Eine andere Lösung ist:

protected void Application_Start()
{
    ...
    RequestValidator.Current = new MyRequestValidator();
}

public class MyRequestValidator: RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        bool result = base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

        if (!result)
        {
            // Write your validation here
            if (requestValidationSource == RequestValidationSource.Form ||
                requestValidationSource == RequestValidationSource.QueryString)

                return true; // Suppress error message
        }
        return result;
    }
}
Beantwortet el 8 de Dezember, 2013 von Sel (1834 Punkte )

0 Stimmen

Avatar von Walden Leverich

Toll! Mir war nicht bewusst, dass man den Request Validator ersetzen kann. Anstatt einfach "ok" zu sagen, wie Sie es tun, habe ich diese Idee erweitert, um Felder, deren Name auf "_NoValidation" endet, nicht zu validieren. Code unten.

Kommentiert el 1 de Kann, 2014 von Walden Leverich

0 Stimmen

Avatar von Sel

Walden Leverich, siehe dazu [AllowHtml]-Attribut

Kommentiert el 28 de Januar, 2015 von Sel

0 Stimmen

Avatar von Walden Leverich

Sel, ja in einer MVC-Umgebung, die funktionieren würde. Aber in einer Webforms-Anwendung habe ich kein Modell, um das zu tun :-)

Kommentiert el 30 de Januar, 2015 von Walden Leverich

Verwandte Fragen

Empfohlene Fragen

Top-Tags

CodeJaeger.com

CodeJaeger ist eine Gemeinschaft für Programmierer, die täglich Hilfe erhalten..
Wir haben viele Inhalte, und Sie können auch Ihre eigenen Fragen stellen oder die Fragen anderer Leute lösen.

Powered by:

Yandex
X