ASP.NET請求驗證功能為我們提供應(yīng)用程序的安全保證,避免站點受到XSS跨站腳本攻擊。但在有些時候��,比如我們需要使用Ckeditor等在線文本編輯器讓用戶輸入一些HTML文本,在ASP.NET 2.0框架下����,通過在web.config中設(shè)置validateRequest="false"�����。或者在MVC中�,我們可以通過在Controller或者Action上設(shè)置[ValidateRequest(false)]這個特性來達到禁用的目的。但是在ASP.NET 4.0框架下,你會發(fā)現(xiàn)�,即使你這樣做�,仍然會提示你這樣的一個異?!癆 potentially dangerous Request.Form value was detected from the client”�����。這是怎么回事呢����?
原來是asp.net4.0應(yīng)用程序生命周期發(fā)生了變化,在之前的ASP.NET版本中����,請求驗證是默認啟用的����,但是它只對頁面請求有效(請求.aspx頁面)�����,并且也只是在頁面被請求時驗證�����。但是在ASP.NET 4.0中,請求驗證功能被提前到IHttpHandler.BeginRequest這個方法被請求之前����,這也就意味著所有進入ASP.NET請求通道的所有的HTTP請求都將會被進行請求內(nèi)容合法性的驗證��,包括有的自定義HttpHandler�����,WebService請求����,甚至于利用自定義Http Module進行自定義請求處理程序���。
請求驗證處理被提前的后果就是導(dǎo)致我們在頁面�,或者Controller中設(shè)置ValidateRequest=false,將會失效,無法阻止程序不去驗證請求的輸入內(nèi)容了�����。因為這樣做后����,驗證器無法得到請求的頁面是否禁用了驗證請求,因為還沒有實例化HttpHandler。并且在ASP.NET4.0中���,并沒有提供給我一個地方去禁用這個驗證功能。但是出于兼容性的考慮,ASP.NET允許我們通過在web.config中配置使用ASP.NET 2.0的請求驗證行為:httpRuntime requestValidationMode=”2.0″ />��,這樣就解決了�。
您可能感興趣的文章:- Asp.net實現(xiàn)MVC處理文件的上傳下載功能實例教程
- ASP.NET mvc異常處理的方法示例介紹
- ASP.NET 回發(fā)密碼框清空問題處理方法
- asp.net錯誤頁面處理示例分享
- ASP.NET MVC處理文件上傳的小例子
- ASP.NET中在一般處理程序中使用session的簡單介紹
- asp.net上傳圖片并作處理水印與縮略圖的實例代碼
- Asp.net請求處理之管道處理介紹
- asp.net 請求輸入到輸出的全過程及httpHandler和httpModuler詳細介紹
- asp.net通過HttpModule自動在Url地址上添加參數(shù)
- 攔截asp.net輸出流并進行處理的方法
