Ein potenziell gefährlicher Request.Form-Wert wurde vom Client erkannt

Question

Jedes Mal, wenn ein Nutzer einen Beitrag mit < ou > in einer Seite in meiner Webanwendung, bekomme ich diese Ausnahme ausgelöst.

Ich möchte nicht in die Diskussion über die Klugheit des Auslösens einer Ausnahme oder des Absturzes einer gesamten Webanwendung gehen, weil jemand ein Zeichen in ein Textfeld eingegeben hat, aber ich suche nach einer eleganten Möglichkeit, dies zu behandeln.

Abfangen der Ausnahme und Anzeigen

Es ist ein Fehler aufgetreten. Bitte gehen Sie zurück und geben Sie das gesamte Formular noch einmal ein, aber verwenden Sie dieses Mal bitte nicht <

scheint mir nicht professionell genug zu sein.

Deaktivieren der Nachvalidierung ( validateRequest="false" ) wird dieser Fehler definitiv vermieden, aber die Seite ist dadurch anfällig für eine Reihe von Angriffen.

Idealerweise: Wenn eine Rückmeldung erfolgt, die in HTML eingeschränkte Zeichen enthält, wird der gepostete Wert in der Formularsammlung automatisch HTML-kodiert. So wird der .Text Eigenschaft meines Textfeldes wird sein something & lt; html & gt;

Gibt es eine Möglichkeit, wie ich dies von einem Handler aus tun kann?

Answer 1

Verwenden Sie die Server.HtmlEncode("yourtext");

Answer 2

Ich habe eine Web Forms-Anwendung, die dieses Problem für ein Textfeld Kommentare Feld hatte, wo Benutzer manchmal eingefügt E-Mail-Text, und die "<" und ">" Zeichen aus E-Mail-Header-Informationen würde in dort kriechen und diese Ausnahme auslösen.

Ich habe das Problem aus einem anderen Blickwinkel betrachtet... Da ich bereits Ajax Control Toolkit verwendete, konnte ich einen FilteredTextBoxExtender verwenden, um die Eingabe dieser beiden Zeichen in das Textfeld zu verhindern. Ein Benutzer, der Text kopiert und einfügt, erhält dann das, was er erwartet hat, ohne diese Zeichen.

<asp:TextBox ID="CommentsTextBox" runat="server" TextMode="MultiLine"></asp:TextBox>
<ajaxToolkit:FilteredTextBoxExtender ID="ftbe" runat="server" TargetControlID="CommentsTextBox" filterMode="InvalidChars" InvalidChars="<>" />

Answer 3

In .Net 4.0 und höher, was der Normalfall ist, setzen Sie die folgende Einstellung in system.web

<system.web>
     <httpRuntime requestValidationMode="2.0" />

Answer 4

Wie behebt man dieses Problem für AjaxExtControls in ASP.NET 4.6.2:

Wir hatten das gleiche Problem mit dem AjaxExtControls Rich Text Editor. Dieses Problem begann direkt nach dem Upgrade von .NET 2.0 auf .NET 4.5. Ich habe mir alle SOF-Antworten angesehen, konnte aber keine Lösung finden, die die von .NET 4.5 gebotene Sicherheit nicht beeinträchtigt.

Fix 1 (nicht empfohlen, da es die Anwendungssicherheit beeinträchtigen kann) : Ich habe getestet, nachdem ich dieses Attribut in requestValidationMode = "2.0 und es funktionierte, aber ich hatte Bedenken wegen der Sicherheitsfunktionen. Dies ist also wie eine Verschlechterung der Sicherheit für die gesamte Anwendung zu beheben.

Fix 2 (empfohlen): Da dieses Problem nur bei einem der AjaxExtControl auftrat, konnte ich dieses Problem schließlich mit dem folgenden einfachen Code lösen:

editorID.value = editorID.value.replace(/>/g, ">");
editorID.value = editorID.value.replace(/</g, "&lt;");

Dieser Code wird auf der Client-Seite (Javascript) ausgeführt, bevor die Anfrage an den Server gesendet wird. Beachten Sie, dass die editorID nicht die ID ist, die wir auf unseren html/aspx-Seiten haben, sondern die ID des Rich-Text-Editors, den AjaxExtControl intern verwendet.

Answer 5

Keine der Antworten hat bei mir funktioniert. Dann entdeckte ich, dass ich den folgenden Code entfernen musste, damit es funktionierte:

//Register action filter via Autofac rather than GlobalFilters to allow dependency injection
builder.RegisterFilterProvider();
builder.RegisterType<OfflineActionFilter>()
    .AsActionFilterFor<Controller>()
    .InstancePerLifetimeScope();

Ich kann nur zu dem Schluss kommen, dass etwas in Autofacs RegisterFilterProvider das Attribut validateRequest bricht oder außer Kraft setzt