FineUI 官方论坛

标题: 从客户端（XXXXXX）中检测到有潜在危险的Request.Form 错误 [打印本页]

作者: 黑冰.cn 时间: 2013-9-17 14:02
标题: 从客户端（XXXXXX）中检测到有潜在危险的Request.Form 错误
错误提示：
[attach]3190[/attach]
原因：ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候，ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。这是ASP.Net提供的一个很重要的安全特性。因为很多程序员对安全没有概念，甚至都不知道XSS这种攻击的存在，知道主动去防护的就更少了。ASP.Net在这一点上做到默认安全。这样让对安全不是很了解的程序员依旧可以写出有一定安全防护能力的网站。

解决：
在web.config中加入下面代码中的红色项
<system.web>

<httpRuntime maxRequestLength="1024000" executionTimeout="150" enable="true" requestValidationMode="2.0"/>
<compilation debug="true" targetFramework="4.0">
<assemblies>
<add assembly="System.Windows.Forms, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B77A5C561934E089"/>
<add assembly="System.Design, Version=4.0.0.0, Culture=neutral, PublicKeyToken=B03F5F7F11D50A3A"/>
</assemblies>
</compilation>
<pages validateRequest="false"/>
<customErrors mode="Off"/>
</system.web>

作者: sanshi 时间: 2013-9-17 16:29
安全起见，这个设置还是放到页面级别。因为很少有表单需要提交HTML片段，除非是富文本编辑器

作者: 黑冰.cn 时间: 2013-9-17 17:04
嗯，那就在需要的页面加入 validateRequest="false"

欢迎光临 FineUI 官方论坛 (https://fineui.com/bbs/)