ASP.NET請(qǐng)求驗(yàn)證功能為我們提供應(yīng)用程序的安全保證，避免站點(diǎn)受到XSS跨站腳本攻擊。但在有些時(shí)候，比如我們需要使用Ckeditor等在線文本編輯器讓用戶輸入一些HTML文本，在ASP.NET 2.0框架下，通過(guò)在web.config中設(shè)置validateRequest="false"?；蛘咴贛VC中，我們可以通過(guò)在Controller或者Action上設(shè)置[ValidateRequest(false)]這個(gè)特性來(lái)達(dá)到禁用的目的。但是在ASP.NET 4.0框架下，你會(huì)發(fā)現(xiàn)，即使你這樣做，仍然會(huì)提示你這樣的一個(gè)異常“A potentially dangerous Request.Form value was detected from the client”。這是怎么回事呢？

原來(lái)是asp.net4.0應(yīng)用程序生命周期發(fā)生了變化，在之前的ASP.NET版本中，請(qǐng)求驗(yàn)證是默認(rèn)啟用的，但是它只對(duì)頁(yè)面請(qǐng)求有效（請(qǐng)求.aspx頁(yè)面），并且也只是在頁(yè)面被請(qǐng)求時(shí)驗(yàn)證。但是在ASP.NET 4.0中，請(qǐng)求驗(yàn)證功能被提前到IHttpHandler.BeginRequest這個(gè)方法被請(qǐng)求之前，這也就意味著所有進(jìn)入ASP.NET請(qǐng)求通道的所有的HTTP請(qǐng)求都將會(huì)被進(jìn)行請(qǐng)求內(nèi)容合法性的驗(yàn)證，包括有的自定義HttpHandler，WebService請(qǐng)求，甚至于利用自定義Http Module進(jìn)行自定義請(qǐng)求處理程序。

請(qǐng)求驗(yàn)證處理被提前的后果就是導(dǎo)致我們?cè)陧?yè)面，或者Controller中設(shè)置ValidateRequest=false，將會(huì)失效，無(wú)法阻止程序不去驗(yàn)證請(qǐng)求的輸入內(nèi)容了。因?yàn)檫@樣做后，驗(yàn)證器無(wú)法得到請(qǐng)求的頁(yè)面是否禁用了驗(yàn)證請(qǐng)求，因?yàn)檫€沒(méi)有實(shí)例化HttpHandler。并且在ASP.NET4.0中，并沒(méi)有提供給我一個(gè)地方去禁用這個(gè)驗(yàn)證功能。但是出于兼容性的考慮，ASP.NET允許我們通過(guò)在web.config中配置使用ASP.NET 2.0的請(qǐng)求驗(yàn)證行為：<httpRuntime requestValidationMode=”2.0″ />，這樣就解決了。

最新評(píng)論