我要评论asp.net请求验证功能为我们提供应用程序的安全保证,避免站点受到xss跨站脚本攻击。但在有些时候,比如我们需要使用ckeditor等在线文本编辑器让用户输入一些html文本,在asp.net 2.0框架下,通过在web.config中设置validaterequest="false"。或者在mvc中,我们可以通过在controller或者action上设置[validaterequest(false)]这个特性来达到禁用的目的。但是在asp.net 4.0框架下,你会发现,即使你这样做,仍然会提示你这样的一个异常“a potentially dangerous request.form value was detected from the client”。这是怎么回事呢?
原来是asp.net4.0应用程序生命周期发生了变化,在之前的asp.net版本中,请求验证是默认启用的,但是它只对页面请求有效(请求.aspx页面),并且也只是在页面被请求时验证。但是在asp.net 4.0中,请求验证功能被提前到ihttphandler.beginrequest这个方法被请求之前,这也就意味着所有进入asp.net请求通道的所有的http请求都将会被进行请求内容合法性的验证,包括有的自定义httphandler,webservice请求,甚至于利用自定义http module进行自定义请求处理程序。
请求验证处理被提前的后果就是导致我们在页面,或者controller中设置validaterequest=false,将会失效,无法阻止程序不去验证请求的输入内容了。因为这样做后,验证器无法得到请求的页面是否禁用了验证请求,因为还没有实例化httphandler。并且在asp.net4.0中,并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑,asp.net允许我们通过在web.config中配置使用asp.net 2.0的请求验证行为:<httpruntime requestvalidationmode=”2.0″ />,这样就解决了。
您可能感兴趣的文章:
如您对本文有疑问或者有任何想说的,请点击进行留言回复,万千网友为您解惑!
网友评论