|
出现:
 “从客户端中检测到有潜在危险的Request.Path值”,当然了,你还可以在地址栏上尝试点别的,比如一些特殊符号,也可能出现这种情况,注意一下,现在出现的异常为:HttpException。
现在我们尝试别的情况,改一下Controller:
 public class HomeController : Controller { public ActionResult Index() { return View(); } [HttpPost] public ActionResult Index(string p1) { ViewBag.P1 = p1; return View(); } } 再改一下View: <!DOCTYPE html> <html> <head> <meta name="viewport" content="width=device-width" /> <title>Index</title> </head> <body> <div> <p>@ViewBag.P1</p> <form method="post"> <input type="text" name="p1" /> <input type="submit" /> </form> </div> </body> </html> 代码很简单,我们尝试给p1写点值,然后回显,输入个什么“123”或者“abc”是没问题的,但如果尝试输入“<a>”或者“<script>”之类的,就会出现:
还有另一种可以导致这个错误出现的方法,现在改一下Controller为:
public class HomeController : Controller { public ActionResult Index() { return View(); } [HttpPost] public ActionResult Index(string p1) { string p2 = Request.QueryString["p2"]; ViewBag.P1 = p1; ViewBag.P2 = p2; return View(); } } View也改一下: <!DOCTYPE html> <html> <head> <meta name="viewport" content="width=device-width" /> <title>Index</title> </head> <body> <div> <p>@ViewBag.P1</p> <p>@ViewBag.P2</p> <form method="post"> <input type="text" name="p1" /> <input type="submit" /> </form> </div> </body> </html> 运行,地址栏上敲入:http://localhost:37538/Home/Index?p2=%3Cscript%3E
嗯?竟然没有报错!接着直接点页面上的“提交”按钮,这次报错了。出错提示差不多,我不再截图,大致出错文本信息为:“从客户端中检测到有潜在危险的 Request.QueryString 值”,Exception类型为HttpRequestValidationException。
另外,对于传统的Web Form,(还记得aspx吗?同学们),也是会出现这个异常的,你随便建一个叫“WebForm1.aspx”的页面,然后地址栏上敲:http://localhost:37538/WebForm1.aspx?p1=%3Cscript%3E
看吧,错误是一样的。
总结一下:
1,如果URL的路径(不包括参数)中带有“潜在危险”,那么打开页面时候会直接报错,Exception类型为HttpException
2,如果URL参数或者Post的表单数据中含有“潜在危险”,那Exception会发生在我们尝试去获得“潜在危险”的时候,Exception类型为HttpRequestValidationException
这是ASP.NET的默认行为,主要是为了防止XSS,也就是跨站脚本攻击,关于XSS的文章很多,如需进一步了解请自行Google。虽然这个报错看起来是一种好意,但这个情我不太想领,因为这个Yellow Dead Page十分不友好,另外,如果我们确实用得到这样的“潜在危险”数据呢?比如我们做一个论坛,允许用户使用一些HTML标签来格式化他们的输入,这样接受“潜在危险”就变成了必须了。我们现在来改变一下ASP.NET的默认行为,让它不再抛出这样的异常。很简单,我们来修一下web.config:
<system.web> <httpRuntime requestPathInvalidCharacters="" requestValidationMode="2.0" /> <!--避免了URL路径的检查--> <pages validateRequest="false"></pages> <!--避免了aspx页面对URL参数及表单数据的检查--> </system.web> 但我们如今一般都很少用Web Form了,大家都MVC了对吧?对于ASP.NET MVC,还需要加一个全局过滤器,来避免其对URL参数及表单数据的检查,在Application_Start()中加入: GlobalFilters.Filters.Add(new ValidateInputAttribute(false)); ALL DONE! 没有了“潜在危险”检查,假如危险真的来临了,那可怎么办?你是说XSS吗?一般情况下,如果你不需要像论坛那样让允许用户提交“富文本”的话,直接用HTML Encode来呈现数据就肯定不会有XSS问题啊,用户尝试提交一段JavaScript,你用HTML Encode了之后,提交啥,就直接在页面上显示啥,也没啥好担心的,使用到@Html.Raw的时候就要格外小心一些,差不多就OK了。但如果你真的需要允许客户提交富文本的话,情况就变得有些复杂了,有以下解决方案来避免XSS: 1,自行检查提交内容,如果发现<script>标签之类的,拒绝提交;
2,使用HTML Parser,尝试找到“潜在危险”并将它们移除;
3,不用HTML标签,改用Markdown;
第一种方案很容易想得到,并且要做也不难,但要做得好就很难,你考虑一下以下的情况:
<a href="javascript: danger();">danger</a> <p onclick="danger();">danger</p> <div style="width: expression(danger());">danger</div> 看吧,防不胜防,还有各种不同的标签哦,各种onXXX事件,一些更高明的嵌套手法,唉,想做好是很难的了,这种方法不推荐! 第二种方法可以考虑使用HtmlAgilityPack这个库,用它来解释客户端提交上来的内容,一个个Tag去遍历。我建议使用“白名单”机制,只允许有限的tag,比如<a>,<p>,<div>,<ul>,<ol>,<li>等,遇到不认识的一律移除,这些标签里,也只允许有限的属性,遇到诸如“onXXX”这种不在白名单里的属性一律移除,这样就差不多了,还剩下一个比较麻烦的就是<a>标签的href属性,这个得做点特殊处理,自己判断一下这里边是否有潜在的危险,我的做法是:  static readonly Regex _regexIsSafe = new Regex("^([a-z][a-z,0-9]*):"); static bool IsLegalLink(string link) { link = link.Trim().ToLower(); Match match = _regexIsSafe.Match(link); if (match.Success) { string schema = match.Groups[1].Value; if (!"http".Equals(schema) && !"https".Equals(schema)) { return false; } } return true; } 这样应该差不多了。或者更绝的做法就是干脆把<a>标签从白名单里移除。
这个移除潜在危险代码的过程有个专业术语叫“Sanitize”,直译的话就是“消毒”,嗯,挺形象的。
第三种方法是最为彻底的和先进的方法,但由于我没做过,所以暂时就不在这里展开了,建议大家去找找Markdown的解决方案,祝你好运!
|
|
|
来自: ThinkTank_引擎 > 《web》
