ASP.NET 4.0: 請求驗證模式變化導致ValidateRequest=false失效

來源:互聯網
上載者:User

ASP.NET請求驗證功能可以給我提供應用程式的安全保證,避免網站受到XSS的攻擊。但是在一些情況下,我們需要禁用這個功能,比如我們需要使用HtmlEditor來讓使用者輸入一些HTML文本,這時候ASP.NET 2.0允許我們可以通過在web.config設定validateRequest="false"。或者在MVC中,我們可以通過在Controller或者Action上設定[ValidateRequest(false)]這個特性來達到禁用的上的。但是在當你把網站從舊版本升級到ASP.NET 4.0後,你會發現,即使你這樣做,仍然會提示你這樣的一個異常“A potentially dangerous Request.Form value was detected from the client”。該如何來解決這個問題呢?

在之前的ASP.NET版本中,請求驗證是預設啟用的,但是它只對頁面請求有效(請求.aspx頁面),並且也只是在頁面被請求時驗證。但是在ASP.NET 4.0中,請求驗證功能被提前到IHttpHandler.BeginRequest這個方法被請求之前,這也就意味著所有進入ASP.NET請求通道的所有的HTTP請求都將會被進行請求內容合法性的驗證,包括有的自訂HttpHandler,WebService請求,甚至於利用自訂Http Module進行自訂請求處理常式。

請求驗證處理被提前的後果就是導致我們在頁面,或者Controller中設定ValidateRequest=false,將會失效,無法阻止程式不去驗證請求的輸入內容了。因為這樣做後,驗證器無法得到請求的頁面是否禁用了驗證請求,因為還沒有執行個體化HttpHandler。並且在ASP.NET4.0中,並沒有提供給我一個地方去禁用這個驗證功能。但是出於相容性的考慮,ASP.NET允許我們通過在web.config中配置使用ASP.NET 2.0的請求驗證行為:<httpRuntime requestValidationMode=”2.0″ />。

完全禁用或不禁用請求驗證功能,對程式員來說都不是特別方便。出現安全性和程式可用性考慮,一個折中的方案可能是自己寫一個驗證處理器,來過濾掉一些我們不希望出現的html標籤,而不是一見到”<>” 就害怕。因為XSS的一個很重要的標籤是<script> ,那我們就可以通過寫一個自訂的驗證來過濾<script>,當看到使用者提交這個標籤就才報告非法輸入,下面是一個樣本源碼:

以上段落可能會引起關於如何防止XSS攻擊的歧義,特此刪除。以下代碼僅用於示範開發人員如何編寫自訂的請求輸入驗證器,根據自己需要決定允許請求哪些資料:

 

代碼

using System;  
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Util;
namespace Globals
{
/// <summary>
/// Summary description for CustomRequestValidation
/// </summary>
public class CustomRequestValidation : RequestValidator
{
public CustomRequestValidation() { }
protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
{
//block script tags
var idx = value.ToLower().IndexOf("<script");
if (idx > -1)
{
validationFailureIndex = idx;
return false;
}
else
{
validationFailureIndex = 0;
return true;
}
}
}
}

 

 

此時,我們在web.config中添加這個配置,讓系統使用我們的自訂驗證器進行驗證:<httpRuntime requestValidationType=”Globals.CustomRequestValidation”/>。

關於這個問題的相關資源:

http://jefferytay.wordpress.com/2010/04/15/asp-net-4-breaking-changes-1-requestvalidationmode-cause-validaterequestfalse-to-fail/

相關文章

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

  • Sales Support

    1 on 1 presale consultation

  • After-Sales Support

    24/7 Technical Support 6 Free Tickets per Quarter Faster Response

  • Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.