3

我以前见过这个错误,但似乎无法绕过它。在这种情况下,我有一个 ASHX 页面,它输出一个简单的 HTML 表单,其中包含一个可以发布 XML 的文本框。当我尝试阅读表单时,我收到“有潜在危险的 Request.Form 值...”。

由于它是通用处理程序,因此“ValidateRequest”属性不可用。但是我已经在 web.config 中定义了这个:

<location path="xml/MyGenericHandler.ashx">
    <system.web>
      <pages validateRequest="false" />
    </system.web>
</location>

这个片段早于从 .NET 3.5 到 4.0 的迁移,所以我猜这就是破坏的起源。

知道如何解决 ASHX 页面的此错误吗?

4

3 回答 3

6

限制您的 3.5-4.0 更改是 ASP.NET 4.0 的一些增强的运行时安全功能。快速修复是应用以下属性:

<httpRuntime requestValidationMode="2.0" />

不幸的是,这会打开所有页面到 2.0 请求验证,所以我只会在攻击面相对较小的情况下这样做。

于 2011-03-03T22:39:57.003 回答
1

虽然不是您问题的直接答案,但我想说阅读上一篇文章。它确实为您提供了一种确保不会引发错误的方法。从某种意义上说,这是一种冒险的方式,因为这意味着关闭基本保护。但是,答案是有充分理由的,并且它明确指出,只有在您绝对确定要对所有输出进行编码时才应该实施它。

从客户端检测到潜在危险的 Request.Form 值

作为旁注,我还建议使用Microsoft Anti-Xss Library而不是内置的 Server.HtmlEncode 函数。

但是,如果您可以修改 ashx,则更简单的解决方案是仅修改错误代码并添加“if”语句以在错误消息包含您要过滤的字符串时不记录错误。

于 2011-03-03T22:10:06.513 回答
0

您最好只为您的处理程序页面禁用验证:

  <location path="MyGenericHandler.ashx">
    <system.web>
      <!-- requestValidationMode is to avoid HTML-validation of data posted to the handler -->
      <httpRuntime requestValidationMode="2.0"/>
    </system.web>
  </location>

或者在你的处理程序中使用这个属性来避免触发异常:

context.Request.Unvalidated.Form
于 2017-05-14T21:08:57.613 回答