Felsök: Request.Form-värdet som identifierats från klienten ... kan vara skadligt
Detta är ett fel som man kan få om man skriver in html-kod i en textruta och postar det med Asp.Net. Det behöver inte ens vara html. .NET-Ramverket känner av ifall man har skrivit större-än eller mindre-än tecknet ("<...>").
Hela felmeddelandet:
Beskrivning: Vid verifiering av begäran identifierades ett indatavärde från klienten som kan vara skadligt. Behandlingen av begäran har avslutats. Det här värdet kan indikera ett försök att kompromettera säkerheten för tillämpningsprogrammet, till exempel en skriptattack över webbplatsen. Du kan inaktivera verifiering av begäran genom att ange validateRequest=false i Page-direktivet eller -konfigurationsavsnittet. Du bör emellertid låta tillämpningsprogrammet kontrollera alla indata i det här fallet.
Undantagsinformation: System.Web.HttpRequestValidationException: Request.Form-värdet som identifierats från klienten (ctl00$mainContentPH$fvFaq$tbFaqBody_sv-SE="...the link <a href="http://www....") kan vara skadligt.
Undantagsinformation: System.Web.HttpRequestValidationException: Request.Form-värdet som identifierats från klienten (ctl00$mainContentPH$fvFaq$tbFaqBody_sv-SE="...the link <a href="http://www....") kan vara skadligt.
Botemedel
För att stänga av valideringen kan man göra på två sätt.
1. Stänga av i konfigurationen
<system.web>
<pages ValidateRequest="false"/>
</system.web>
<pages ValidateRequest="false"/>
</system.web>
2. Stänga av på en enskild sida
<%@ Page ValidateRequest="false" ... %>
En varning för injektion
Valideringen finns där av ett skäl, tänk på att om den stängs av så kan besökarna t ex posta javascript som ser ut så här. Och det är inte ofta man vill...
<script>alert('I am posting some dangerous code')</script>
Mer info finns på Brian Cryer's hemsida.
Comments
alert('I am posting some dangerous code') Wrote:
2:e April 2008
<p> Wrote:
2:e April 2008
Tomas Wrote:
3:e Juni 2008
Will Wrote:
17:e Juni 2008
Jesper Wrote:
17:e Juni 2008
aApe Wrote:
18:e Juni 2008
Tags