A potentially dangerous Request.Form value was detected from the client 的解决方法

原创

emanlee 2023-11-08 11:16:59 ©著作权

文章标签 HTML 字符串 Server 文章分类 JavaScript 前端开发

©著作权归作者所有：来自51CTO博客作者emanlee的原创作品，请联系作者获取转载授权，否则将追究法律责任

System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client

方法一：通过在 Page 指令或配置节中设置 validateRequest="false" 可以禁用请求验证

方法二：正确的做法是在你当前页面添加Page_Error()函数，来捕获所有页面处理过程中产生的而没有处理的异常。然后给用户一个合法的报错信息。要是当前页面没有Page_Error()，这个异常将会送到Global.asax的Application_Error()来处理，你也可以在那里写通用的异常报错处理函数。如果两个地方都没有写异常处理函数，才会显示这个默认的报错页面呢。

　　举例而言，处理这个异常其实只须要很简短的一小段代码就够了。在页面的Code-behind页面中加入这么一段代码：

`以下是引用片段： protected void Page_Error(object sender, EventArgs e) { Exception ex = Server.GetLastError(); if (ex is HttpRequestValidationException) { Response.Write("请您输入合法字符串。"); Server.ClearError(); // 要是不ClearError()这个异常会继续传到Application_Error()。 } }`

以下是引用片段：
            protected void Page_Error(object sender, EventArgs e)
            {
                 Exception ex = Server.GetLastError();
                 if (ex is HttpRequestValidationException)
                 {
                     Response.Write("请您输入合法字符串。");
                     Server.ClearError(); // 要是不ClearError()这个异常会继续传到Application_Error()。
                 }
            }

　　这样这个程序就可以截获 HttpRequestValidationException 异常，而且可以按照程序员的意愿返回一个合理的报错信息。

千万不要随意的禁止这个安全特性，如果只是须要异常处理，那么请用类似于上面的代码来处理即可。

而对于那些通过明确禁止了这个特征的程序员，自己一定要明白自己在做什么，而且一定要自己手动的检查必须过滤的字符串，否则你的站点非常容易引发跨站脚本攻击。

　　关于存在Rich Text Editor的页面应当如何处理?

　　要是页面有富文本编撰器的控件的，那么必定会导致有类的HTML标签提交回来。在这种状况下，我们不得不将validateRequest="false"。那么安全性怎么处理?如何在这种状况下最大限度的预防跨站脚本攻击呢?

　　根据微软的建议，我们应该采取安全上称为“默认禁止，显式容许”的策略。

　　首先，我们将输入字符串用 HttpUtility.HtmlEncode()来编码，将其中的HTML标签彻底禁止。

　　然后，我们再对我们所感兴趣的、并且是安全标签，通过Replace()进行替换。譬如，我们希望有""标签，那么我们就将""显式的替换回""。

　　示例代码如下：

`以下是引用片段： void submitBtn_Click(object sender, EventArgs e) ...{ // 将输入字符串编码，这样所有的HTML标签都失效了。 StringBuilder sb = new StringBuilder( HttpUtility.HtmlEncode(htmlInputTxt.Text)); // 然后我们选择性的允许<b> 和 <i> sb.Replace("<b>", "<b>"); sb.Replace("</b>", ""); sb.Replace("<i>", "<i>"); sb.Replace("</i>", ""); Response.Write(sb.ToString()); }`

以下是引用片段：
            void submitBtn_Click(object sender, EventArgs e) 
               ...{ 
                 // 将输入字符串编码，这样所有的HTML标签都失效了。 
                 StringBuilder sb = new StringBuilder( 
                                         HttpUtility.HtmlEncode(htmlInputTxt.Text)); 
                 // 然后我们选择性的允许<b> 和 <i> 
                 sb.Replace("<b>", "<b>"); 
                 sb.Replace("</b>", ""); 
                 sb.Replace("<i>", "<i>"); 
                 sb.Replace("</i>", ""); 
                 Response.Write(sb.ToString()); 
               }

这样我们即容许了部分HTML标签，又禁止了危险的标签。

　　依据微软提供的建议，我们要慎重容许下列HTML标签，因为这些HTML标签都是有可能导致跨站脚本攻击的。

`以下是引用片段： • <applet> • <body> • <embed> • <frame> • <script> • <frameset> • <html> • <iframe> • <img> • <style> • <layer> • <link> • <ilayer> • <meta> • <object>`

以下是引用片段：
• <applet>            
• <body>            
• <embed>            
• <frame>            
• <script>            
• <frameset>            
• <html>            
• <iframe>            
• <img>            
• <style>            
• <layer>            
• <link>            
• <ilayer>            
• <meta>            
• <object>

　　可能这里最让人不能理解的是<img>。但是，看过下列代码后，就应当明白其危险性了。