0

我有一个客户端声称收到服务器错误“从客户端检测到潜在危险的 Request.Form 值”

...这很可能是输入了 html 并且我需要修复比 validateRequest=true 更好的管理方式。

http://www.aspcode.net/A-potentially-dangerous-RequestForm-value-was-detected-from-the-client.aspx

但我的客户声称输入了纯文本,没有输入 html。错误的验证规则是什么?只有<>?还有其他我需要注意的特征吗?

/尼尔斯

4

1 回答 1

3

验证请求过滤的触发字符是小于和 html 字符转义序列 (&#XX;)。

更多详细信息:http: //keepitlocked.net/archive/2007/10/30/asp-net-validaterequest-and-the-html-attribute-based-cross-site-scripting.aspx

于 2009-11-25T19:20:50.580 回答