ASP.NET 4.0请求验证报错


修改方法如下:

在web.config方法中的httpRuntime标记中添加

requestValidationMode="2.0"
<system.web>
    <httpRuntime  />
    <pages validateRequest="false"></pages></system.web>

 </system.web>

深入:

validateRequest=“false”是关闭验证

但在 4.0 中还多了一个 requestValidationMode,这是什么意思呢?

requestValidationMode 有两个值:

  • 2.0 仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。

  • 4.0 默认值。任何 HTTP 请求都会启用请求验证,也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。

由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。

ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他仅仅应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过 请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。

更多:

如果开启验证,仍然可以在服务器端捕获HttpRequestValidationException异常并加以处理(未验证)

protected void Page_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();
        if (ex is HttpRequestValidationException)
        {
            //处理异常
            Server.ClearError();
        }
    }

本文出自 “程序猿” 博客,请务必保留此出处http://haihuiwei.blog.51cto.com/4789207/1585173

郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。