asp.net – 如果我将ValidateRequest设置为false,这不是很危险吗
发布时间:2020-12-16 03:57:30 所属栏目:asp.Net 来源:网络整理
导读:我在我的asp.net项目中的一些webforms中使用FreeTextBox HTML编辑器.如果我没有将ValidateRequest属性设置为false,我会收到此错误: A potentially dangerous Request.Form value was detected from the client 但是在管理文件夹中没问题,因为只有授权用户才
我在我的asp.net项目中的一些webforms中使用FreeTextBox
HTML编辑器.如果我没有将ValidateRequest属性设置为false,我会收到此错误:
但是在管理文件夹中没问题,因为只有授权用户才有权使用它.但是公共页面怎么样,每个用户都可以访问的部分留下评论(使用FreeTextBox收集用户评论)?对XSS攻击没有风险吗?如果答案不是,那么ValidateRequest属性是什么? 解决方法
不,你是对的,这是有潜在危险的.它背后的想法是.net不想限制它的控件可以做什么,但同时消除了安全漏洞的许多可能性. ValidateRequest属性就在那里,所以你可以告诉ASP.NET,“嘿,不要担心这个.我将自己验证它,因为我期待一些可能对你来说很危险的东西.”
它设置为默认验证响应,因为不验证潜在的xss攻击是危险的,并且最好得到一个你没有意识到的验证错误,而不是你的网站遭到攻击. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
相关内容
推荐文章
站长推荐
- asp.net-mvc – 在.NET 3.5 ASP.NET MVC应用程序
- asp.net-mvc – Microsoft ASP .NET Web API,MVC
- asp.net – Web API模型属性为null
- asp.net-mvc – 被劫持的Umbraco HttpPost动作没
- asp.net – 在离开Gridview页面后维护GridView当
- asp.net-mvc-4 – 使用Twitter Bootstrap 3放置验
- asp.net-mvc-4 – 发布后保留表单值(不是模型的一
- asp.net – SqlFunctions.StringConvert添加不必
- 如何使用ASP.NET获取访问者位置(国家,州和城市)
- 初识ABP vNext(11):聚合根、仓储、领域服务、
热点阅读