潜在危险：客户端检测到Request.Form的值。

Question

潜在危险：客户端检测到Request.Form的值。

c#asp.netvalidate-request

16

我有一个asp.net应用程序，在搜索框中输入特殊字符，比如“：&#，”会出现问题。如果我在搜索框中输入此文本，则会显示以下异常：

检测到来自客户端的潜在危险 Request.Form 值（txtValue=": &#, "）。

然后我在网上搜索，找到了一个通用解决方案，即将validaterequest设置为false。但是我的应用程序没有做出任何更改。请帮我解决这个问题。感谢任何回复。

- MAC

1

你在哪里准确地设置了ValidateRequest？ - EMP

<%@ Page ValidateRequest="false" - MAC

可能是重复的问题：从客户端检测到一个潜在危险的Request.Form值。 - Burgi

4个回答

18

虽然有点晚，但我同意那些说在 web.config 中设置会产生安全漏洞的观点。

我使用在相关控制器上使用 [ValidateInput(false)] 属性来处理这个问题。

ValidateInput 可在 MVC2 中的 System.Web.MVC 中找到。

- Jamie M

2

我创建了一个名为article的表，该表包含articleId和article_content两列。我还为article_content列使用了HTML编辑器。但当我尝试保存时，出现了相同的错误。将article_content属性添加[AllowHtml]后，问题得以解决。

请不要忘记使用System.Web.Mvc包含命名空间。更多详情请参见：http://www.infinetsoft.com/Post/A-potentially-dangerous-Request-Form-value-was-detected-from-the-client/1246。

- Mohamed Rasik

1

使用 Framework 4.5，解决方案是修改 web.config 文件，添加以下行：

<httpRuntime requestValidationMode="4.5"/>

获取请求的代码如下：

string reportXML = this.Request.Unvalidated.Form["reportstream"];

- Manuel Sansone

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- marapet · Accepted Answer

24

添加一个包含以下内容的web.config文件

<system.web>
    <pages validateRequest="false" />
</system.web>

将目录切换到包含相关表单的页面。

详细描述请参见http://www.asp.net/learn/whitepapers/request-validation。

如果您使用的是asp.net 4.0，则可以尝试

<httpRuntime requestValidationMode="2.0" />

另请参阅

- marapet

.net 3.5 和操作系统是 Server 2003 IE8。 - MAC

2

如果您需要设置ValidateRequest="false"，则应在<%@ Page %>指令中逐个页面进行设置；否则，您可能会在整个应用程序中打开安全漏洞。 - PhilPursglove

1

@PhilPursglove我同意按页面为基础进行操作是最佳实践 - 除非你知道你在做什么。 ValidateRequest = true是一项安全措施，适用于未正确编码的Web应用程序。根据www.asp.net上链接的页面所述：“当应用程序已被设计为安全处理HTML数据时，可以禁用此请求验证功能。”当然，我们确实这样做了！我通常按目录进行操作。如果您使用依赖于请求验证的第三方组件，则必须特别小心（但您本来就不应该使用那些...）。 - marapet

它救了我..谢谢 :) - Topman

很抱歉，上述方法已经不再适用。现在可行的方法是由Jamie M指定的，在相关控制器上添加[ValidateInput(false)]属性。 - Hashim Akhtar

显示剩余2条评论