首页 > 代码库 > 检测到有潜在危险的 Request.Form 值

检测到有潜在危险的 Request.Form 值

    在用kindeditor提交带有表情、换行<p><br/>的时候,提交出错:检测到有潜在危险的 Request.Form 值

    原来是Framework的问题,原来用的2.0,后面变成了4.0,验证级别也更高了。

    这种问题是因为提交的Form中有HTML字符串,例如你在TextBox中输入了html标签,或者在页面中使用了HtmlEditor组件等,解决办法是禁用validateRequest。

    一般情况下,程序应尽量过滤掉,或者禁止表单上类似文本的输入,如果业务上非得有这样的要求,需要输入标签性的文本,可以考虑在数据向服务器端传递前,将一些敏感字符按照约定规则替换掉,向客户端输出时,再还原出原始文本。比如把 "<" 替换成 "&lt;",向客户端输出时,再把"&lt;" 替换成 "<"。


解决办法:

方法一:Asp.Net WebForm应用程序

在.aspx文件头中加入这句:(这是针对单一表单的做法)

<%@ Page validateRequest="false"  %>

或修改web.config的<pages>的属性:(全部Web表单)

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

因为validateRequest默认值为true。只要设为false即可。也有在 绑定数据传值时加密 <%#Server.UrlEncode(Eval("UserId").ToString())%> 
解密:HttpUtility.UrlDecode(request.QueryString["userid"].Tostrin 


方法二:Asp.Net MVC 应用程序(framework4.0)

a>在web.config的<system.web>节点添加,启用2.0的验证。

<system.web>
    <httpRuntime requestValidationMode="2.0"/>
</system.web>

b>然后在 Controller(作用于整个控制器) 或者 Action(作用于单个方法) 头上添加[ValidateInput(false)] 的标识即可。

[ValidateInput(false)]
public ActionResult Index(){
    return View();
}

    因为4.0的验证在HTTP的BeginRequest前启用,因此,请求的验证适用于所有ASP.NET资源,aspx页面,ashx页面,Web服务和一些HTTP处理程序等。

    网上还有说对requestPathInvalidCharacters进行配置的,比如:requestPathInvalidCharacters="<,>,%,&,:,\,?",那么在危险字符进行忽略的时候,只会忽略 requestPathInvalidCharacters 中进行指定的字符,不指定的话,就会忽略全部字符。

<httpRuntime requestValidationMode="2.0" requestPathInvalidCharacters="" />

检测到有潜在危险的 Request.Form 值