ASP.NET請求驗證功能為我們提供應用程式的安全保證,避免網站受到XSS跨站指令碼攻擊。但在有些時候,比如我們需要使用Ckeditor等線上文字編輯器讓使用者輸入一些HTML文本,在ASP.NET 2.0架構下,通過在web.config中設定validateRequest="false"。或者在MVC中,我們可以通過在Controller或者Action上設定[ValidateRequest(false)]這個特性來達到禁用的目的。但是在ASP.NET 4.0架構下,你會發現,即使你這樣做,仍然會提示你這樣的一個異常“A potentially dangerous Request.Form value was detected from the client”。這是怎麼回事呢?
原來是asp.net4.0應用程式生命週期發生了變化,在之前的ASP.NET版本中,請求驗證是預設啟用的,但是它只對頁面請求有效(請求.aspx頁面),並且也只是在頁面被請求時驗證。但是在ASP.NET 4.0中,請求驗證功能被提前到IHttpHandler.BeginRequest這個方法被請求之前,這也就意味著所有進入ASP.NET請求通道的所有的HTTP請求都將會被進行請求內容合法性的驗證,包括有的自訂HttpHandler,WebService請求,甚至於利用自訂Http Module進行自訂請求處理常式。
請求驗證處理被提前的後果就是導致我們在頁面,或者Controller中設定ValidateRequest=false,將會失效,無法阻止程式不去驗證請求的輸入內容了。因為這樣做後,驗證器無法得到請求的頁面是否禁用了驗證請求,因為還沒有執行個體化HttpHandler。並且在ASP.NET4.0中,並沒有提供給我一個地方去禁用這個驗證功能。但是出於相容性的考慮,ASP.NET允許我們通過在web.config中配置使用ASP.NET 2.0的請求驗證行為:<httpRuntime requestValidationMode=”2.0″ />,這樣就解決了。
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
