首页 > 代码库 > 检测到有潜在危险的 Request.Form 值
检测到有潜在危险的 Request.Form 值
在用kindeditor提交带有表情、换行<p><br/>的时候,提交出错:检测到有潜在危险的 Request.Form 值。
原来是Framework的问题,原来用的2.0,后面变成了4.0,验证级别也更高了。
这种问题是因为提交的Form中有HTML字符串,例如你在TextBox中输入了html标签,或者在页面中使用了HtmlEditor组件等,解决办法是禁用validateRequest。
一般情况下,程序应尽量过滤掉,或者禁止表单上类似文本的输入,如果业务上非得有这样的要求,需要输入标签性的文本,可以考虑在数据向服务器端传递前,将一些敏感字符按照约定规则替换掉,向客户端输出时,再还原出原始文本。比如把 "<" 替换成 "<",向客户端输出时,再把"<" 替换成 "<"。
解决办法:
方法一:Asp.Net WebForm应用程序
在.aspx文件头中加入这句:(这是针对单一表单的做法)
<%@ Page validateRequest="false" %>
或修改web.config的<pages>的属性:(全部Web表单)
<configuration> <system.web> <pages validateRequest="false" /> </system.web> </configuration>
因为validateRequest默认值为true。只要设为false即可。(也有在 绑定数据传值时加密 <%#Server.UrlEncode(Eval("UserId").ToString())%>
解密:HttpUtility.UrlDecode(request.QueryString["userid"].Tostrin )
方法二:Asp.Net MVC 应用程序(framework4.0)
a>在web.config的<system.web>节点添加,启用2.0的验证。
<system.web> <httpRuntime requestValidationMode="2.0"/> </system.web>
b>然后在 Controller(作用于整个控制器) 或者 Action(作用于单个方法) 头上添加[ValidateInput(false)] 的标识即可。
[ValidateInput(false)] public ActionResult Index(){ return View(); }
因为4.0的验证在HTTP的BeginRequest前启用,因此,请求的验证适用于所有ASP.NET资源,aspx页面,ashx页面,Web服务和一些HTTP处理程序等。
网上还有说对requestPathInvalidCharacters进行配置的,比如:requestPathInvalidCharacters="<,>,%,&,:,\,?",那么在危险字符进行忽略的时候,只会忽略 requestPathInvalidCharacters 中进行指定的字符,不指定的话,就会忽略全部字符。
<httpRuntime requestValidationMode="2.0" requestPathInvalidCharacters="" />
检测到有潜在危险的 Request.Form 值