问题标签 [validate-request]

我想要的是：

我有一种情况，我想在我的网站上展示联属网络营销广告。这些基本上是javascript，其中包含内容。由于我的网站采用响应式设计，我想根据 jQuery 的 innerwidth 属性加载不同的广告。总结一下：我想根据 innerwidth 属性加载不同的 javascript。

我做了什么：

我在隐藏字段中加载了两种不同的 javascript，并根据内部宽度，使用 div.html() 命令显示其中一种。但是，这会在用户提交帖子时出现“潜在危险的 request.form”错误（ASP.NET 对 XSS 的防御），因为加载的内容具有危险字符，这是有道理的。

我可以在所有页面上都说“ValidateRequest=false”，但这是一个可怕的解决方案，会引发很多安全问题。

我的想法...

最好的方法是从服务器端加载广告，但我们不知道这里的浏览器宽度。从我能够阅读的内容来看，似乎很难/不可能在 page_load 处获得内部宽度值。

但我想在不提出潜在危险请求的情况下加载我的广告。

关于如何解决这个问题的任何想法？

在上面的代码中有 2 个图像按钮，它们在不同的 ItemNum 之间移动。我试图通过在查询字符串为 1 时删除 imgbtnPrev 按钮来阻止用户单击上一个按钮。

错误消息显示位置 0 处没有行

^ 这里是突出显示的地方。

我在这里看到了很多类似的问题，但没有一个对我有用的答案。我有一个带有搜索功能的站点（MVC4），搜索功能应该接受任何字符，但只有搜索表单，站点的其余部分应该使用 MVC4 默认设置。

我尝试了下面的 web.config 没有成功。

我的控制器也使用属性 HttpGet 和 ValidateInput(false)

我错过了什么？

编辑：我正在使用 Razor 2

我试图避免在我的应用程序中使用横向脚本，但我的要求是我必须将包括脚本在内的数据保存到我的数据库中，但是当显示相同的数据时，它应该作为文本而不是脚本可见，例如：

第1步：我在一个网站中有一个文本框，我试图通过下面的代码注入

测试数据警报（'恶意代码'）；

第 2 步：我将文本的确切内容保存在我的数据库中（注意 validateRequest 设置为 false）。

第3步：然后我在网页中显示脚本不应该执行的内容。

注意：我已经通过 AntiXss 和 Sanitizer 对其进行了限制，但是当我使用 Sanitizer 时，脚本会被 Sanitizer 忽略，谁能给我一个解决方案，将脚本显示为文本（也应该避免执行脚本.)

我尝试发布所选值并检查变量是否为空。

html:

结果html：

邮政检查：

值 0 始终为空并且脚本触发了骰子，所有其他值都在工作。值 0 是否像“”？

也试过：

这也有效，但同样的问题。还有一个问题，为什么选择分配给 ="" ？我以为它只是html的一个标签，这个值是选中的吗？

验证输入：

我在 IIS7 和 .NET 4.5.1 上有一个 Web 窗体网站，我希望使用 Microsoft 的请求验证来验证 http 请求。validateRequest 和 requestValidationMode 的 web.config 默认值应该分别为“true”和“4.0”，这应该是我想要的（我尝试指定它们以防万一）。

出于某种原因，当我在表单中输入一个 html 标记（尝试过 <script> 和 <a>）然后提交它时，我得到了预期的潜在危险请求错误，但该标记被保存在数据库中。为什么会通过？我只是按原样获取文本框的文本值并将其发送到我的数据库，但我希望错误能够阻止这种情况的发生。

当我尝试设置时：

错误是一样的，但是这一次，标签没有最终出现在数据库中，这正是我想要的。

我想了解为什么在我的情况下，安全性较低的验证模式“2.0”是唯一真正阻止请求通过的验证模式，这似乎没有多大意义。一定有我遗漏的东西，如果我应该提供其他信息，请告诉我。

我的公司安全政策规定我不能关闭ValidateRequest表单网站的属性。

我从该站点收到有关潜在危险Request.Form输入的错误报告。

我可以从所有错误中看出，危险正在从地址字段中的外来字符（例如德语、带有变音符号的挪威字符）中发现。

我对这些字符如何变成 html 编码有点困惑，因为危险的字符组合就像å哪个是ö字符。

从客户端检测到潜在危险的 Request.Form 值（ctl00$ContentPlaceHolder1$tbxDeliveryAddress="...last As B & #229;smosjyen 4 Mo..."）

显然这不是恶意的，我需要允许客户输入他们的地址，包括变音符号。我想知道客户是否在不知不觉中通过复制和粘贴来做到这一点，所以我用两个标签和一个文本框进行了实验，一个标签编码了一些带有变音符号的文本，另一个标签只是打印了变音符号（我检查了呈现页面上的 html 源代码，这是正常的）然后我将每个标签依次复制并粘贴到一个文本框中并提交了表单，但都没有出错。

所以我很困惑这个输入是如何来自客户的。我发现很难相信他们å在输入地址时会实际输入文本框。由于我真的不知道外国键盘是如何工作的，任何人都可以对此有所了解吗？

我怎样才能阻止这个非恶意文本被 .net 中的这个功能捕获而不转出ValidateRequest属性？对于试图无辜地输入他们的送货地址的客户来说，这真的很痛苦。

编辑

我注意到，在错误消息中，文本实际上来自一个多行文本框字段，该字段生成 textarea html 控件。我想知道这个特定控件是否使用 html 编码文本呈现内容？我这样说是因为最终用户实际上无法直接在此字段中进行编辑，它会自动填充，并弹出一个模式来编辑各个行上的地址。多行文本框是否会自动对其内容进行 html 编码？

我的页面上有一个所见即所得的编辑器，其内容包含“<”字符。有没有办法在不关闭validateRequest的情况下处理此错误

我正在使用自定义框架，并且我的页面是其中的 webcontrol (.ascx)，所以我不能只关闭该页面的验证；我必须为整个网站做这件事。只是我不想因为所见即所得编辑器的一页而将其关闭。

有没有办法让它在不关闭验证的情况下工作？

嗨，我正在从事的 uni 项目遇到问题。我正在尝试验证输入，以便BookID在尝试借书时输入的内容仅在名为“”的数组中存在时才有效BookList。在那一刻我让它工作，以便它验证它以确保输入一个整数，而不是字母或负数。

我已经无休止地尝试了，但我完全被卡住了？？任何提示或帮助，我将不胜感激。谢谢

我的应用程序在 Eclipse IDE 上运行良好，但在导出后，名声不会重新绘制。我正在尝试通过删除两个 JPanel 并使用更多面板再次添加它们来重建 JFrame 的布局，这是我的代码：

应用首先调用 buildGUI()

根据用户输入进行一些计算并调用 reBuildGUI()：

再次，应用程序在 IDE 上运行良好，但不是作为独立的 jar，调用 reBuildGUI() 时没有任何反应！试图以不同的顺序使用 validate()、revalidate() 和 pack() 而没有收获？