游客

标题:解决Asp.net(c#) 错误A potentially dangerous Request.Form value was detected from the client
正文:
近日有客户在升级到Windows 2012 Server后，发现部分表单无法保存，经测试是由于使用了ASP.NET 4.0，默认安全性设置较高造成的。当表单中提交的内容包括<或者>的符号时，就会被服务器作为危险请求而拒绝保存，在ASP.NET 4.0以前，我们可以在aspx页面上方加上ValidateRequest=”false”来忽略此校验，但在ASP.NET 4.0后，此校验在页面执行以前，因此需要修改全局设定方可忽略此校验。Version Information: Microsoft .NET Framework Version:4.0.21006; ASP.NET Version:4.0.21006.1在IIS 8之后，当页面输入框默认情况下输入“<”或者“>”的时候。按照访问策略，这将导致一些安全问题，诸如：跨站脚本攻击（cross-site scripting attack）。而这个问题的更准确描述则是，当你在安装了.NET Framework4.0以上版本后，当你的应用程序以.NET Framework4.0为框架版本，你的任意服务器请求，都将被进行服务器请求验证（ValidationRequest），这不仅包括ASP.NET，同时也包括WebServices等各种HTTP请求，不仅仅针对aspx页面，也针对HTTP Handler，HTTPModule等，因为这个验证（Valify）的过程，将会发生在BeginRequest事件之前。基于以上原理，在ASP.NET之前的版本中，请求验证也是默认开通的，但是发生在页面级（aspx）的，并且只在请求执行的时候生效，因此，在旧的版本中，我们只需要按以下方式配置即可：在页面级别（aspx中）设置ValidateRequest=”false”或者在全局级别（Web.config中）设置<configuration><system.web><pages validateRequest="false">但是，以上设置仅对ASP.NET4.0以上有效。在ASP.NET4.0版本上，我们需要更多一行的配置：在全局级别（Web.confi
[<<][[1]][2][>>]

查看评论(0)
发表评论



首页