संभावित रूप से खतरनाक Request.Form मान क्लाइंट से पाया गया था

जब भी कोई उपयोगकर्ता मेरे वेब एप्लिकेशन में किसी पृष्ठ <या >किसी पृष्ठ पर कुछ पोस्ट करता है, तो मुझे यह अपवाद मिलता है।

मैं एक अपवाद को फेंकने या एक संपूर्ण वेब एप्लिकेशन को क्रैश करने की स्मार्टनेस के बारे में चर्चा में नहीं जाना चाहता क्योंकि किसी व्यक्ति ने एक टेक्स्ट बॉक्स में एक चरित्र दर्ज किया था, लेकिन मैं इसे संभालने के लिए एक सुरुचिपूर्ण तरीके की तलाश कर रहा हूं।

अपवाद फँसाना और दिखाना

एक त्रुटि हुई है कृपया वापस जाएं और अपने पूरे फॉर्म को फिर से टाइप करें, लेकिन इस बार कृपया उपयोग न करें <

मेरे लिए पर्याप्त पेशेवर नहीं लगता है।

पोस्ट सत्यापन ( validateRequest="false") को अक्षम करने से निश्चित रूप से इस त्रुटि से बचा जा सकेगा, लेकिन यह पेज को कई हमलों के लिए असुरक्षित बना देगा।

आदर्श रूप से: जब पोस्ट बैक में HTML प्रतिबंधित वर्ण होते हैं, तो फॉर्म संग्रह में पोस्ट किया गया मान स्वचालित रूप से HTML एन्कोडेड होगा। तो .Textमेरे टेक्स्ट-बॉक्स की संपत्ति होगीsomething & lt; html & gt;

क्या कोई तरीका है जो मैं एक हैंडलर से कर सकता हूं?

मुझे लगता है कि आप सभी पोस्ट किए गए डेटा को एनकोड करने की कोशिश करके इसे गलत कोण से हमला कर रहे हैं।

ध्यान दें कि एक " <" अन्य बाहरी स्रोतों से भी आ सकता है, जैसे डेटाबेस फ़ील्ड, कॉन्फ़िगरेशन, फ़ाइल, फ़ीड और इसी तरह।

इसके अलावा, " <" स्वाभाविक रूप से खतरनाक नहीं है। यह केवल एक विशिष्ट संदर्भ में खतरनाक है: जब एचटीएमएल आउटपुट (XSS के कारण) को एन्कोड नहीं किया गया है, तो स्ट्रिंग्स लिखना।

अन्य संदर्भों में, अलग-अलग उप-स्ट्रिंग खतरनाक हैं, उदाहरण के लिए, यदि आप उपयोगकर्ता द्वारा प्रदान किए गए URL को लिंक में लिखते हैं, तो उप-स्ट्रिंगjavascript: " खतरनाक हो सकती है। SQL क्वेश्चन में स्ट्रिंग्स को इंटरपोल करते समय दूसरी ओर सिंगल कोट कैरेक्टर खतरनाक होता है, लेकिन अगर यह किसी फॉर्म से सबमिट किए गए नाम का एक हिस्सा है या डेटाबेस फील्ड से पढ़ा जाता है।

लब्बोलुआब यह है: आप खतरनाक पात्रों के लिए यादृच्छिक इनपुट को फ़िल्टर नहीं कर सकते, क्योंकि कोई भी चरित्र सही परिस्थितियों में खतरनाक हो सकता है। आपको उस बिंदु पर सांकेतिक शब्दों में बदलना चाहिए जहां कुछ विशिष्ट चरित्र खतरनाक हो सकते हैं क्योंकि वे एक अलग उप-भाषा में पार करते हैं जहां उनका विशेष अर्थ है। जब आप HTML को एक स्ट्रिंग लिखते हैं, तो आपको उन अक्षरों को एनकोड करना चाहिए जिनका HTML में विशेष अर्थ है। Server.HtmlEncode का उपयोग करना। यदि आप एक गतिशील एसक्यूएल स्टेटमेंट के लिए एक स्ट्रिंग पास करते हैं, तो आपको अलग-अलग वर्णों को एन्कोड करना चाहिए (या बेहतर है, तैयार किए गए स्टेटमेंट या इस तरह का उपयोग करके फ्रेमवर्क को आपके लिए करने दें)।

जब आप हर जगह आप HTML करने के लिए तार पारित सुनिश्चित करें कि आप एचटीएमएल एन्कोड कर रहे हैं, तो सेट validateRequest="false"में <%@ Page ... %>में निर्देश अपने.aspx फ़ाइल (फ़ाइलें)।

.NET 4 में आपको थोड़ा और करने की आवश्यकता हो सकती है। कभी-कभी यह <httpRuntime requestValidationMode="2.0" />web.config ( संदर्भ ) में भी जोड़ना आवश्यक है ।

यदि आप ASP.NET MVC का उपयोग कर रहे हैं तो इस त्रुटि का एक अलग समाधान है:

• ASP.NET MVC - पृष्ठ सत्यापन योग्य = गलत काम नहीं करता है?
• ValidateInput (गलत) काम क्यों नहीं कर रहा है?
• ASP.NET MVC RC1, VALIDATEINPUT, एक संभावित दैनिक आवश्यकता और पृष्ठ

सी # नमूना:

[HttpPost, ValidateInput(false)]
public ActionResult Edit(FormCollection collection)
{
    // ...
}

दृश्य मूल नमूना:

<AcceptVerbs(HttpVerbs.Post), ValidateInput(False)> _
Function Edit(ByVal collection As FormCollection) As ActionResult
    ...
End Function

ASP.NET MVC (संस्करण 3 में शुरू) से, आप AllowHtmlअपने मॉडल पर एक संपत्ति में विशेषता जोड़ सकते हैं ।

यह संपत्ति के लिए अनुरोध सत्यापन को लंघन द्वारा मॉडल बाइंडिंग के दौरान HTML मार्कअप को शामिल करने के लिए एक अनुरोध की अनुमति देता है।

[AllowHtml]
public string Description { get; set; }

यदि आप .NET 4.0 पर हैं, तो सुनिश्चित करें कि आप इसे अपने web.config फ़ाइल में <system.web>टैग के अंदर जोड़ते हैं :

<httpRuntime requestValidationMode="2.0" />

.NET 2.0 में, aspxअनुरोधों पर लागू होने वाले सत्यापन का अनुरोध करें। .NET 4.0 में यह सभी अनुरोधों को शामिल करने के लिए विस्तारित किया गया था । जब आप निर्दिष्ट करके केवल XSS सत्यापन करने के लिए वापस लौट सकते हैं .aspx:

requestValidationMode="2.0"

आप निर्दिष्ट करके अनुरोध को पूरी तरह से अक्षम कर सकते हैं :

validateRequest="false"

ASP.NET 4.0 के लिए, आप सभी को एक <location>तत्व में रखकर पूरी साइट के बजाय विशिष्ट पृष्ठों के लिए इनपुट के रूप में मार्कअप की अनुमति दे सकते हैं । यह सुनिश्चित करेगा कि आपके अन्य सभी पृष्ठ सुरक्षित हैं। आपको ValidateRequest="false"अपने .aspx पृष्ठ में डालने की आवश्यकता नहीं है ।

<configuration>
...
  <location path="MyFolder/.aspx">
    <system.web>
      <pages validateRequest="false" />
      <httpRuntime requestValidationMode="2.0" />
    </system.web>
  </location>
...
</configuration>

इसे अपने web.config के अंदर नियंत्रित करना सुरक्षित है, क्योंकि आप साइट स्तर पर देख सकते हैं कि कौन से पृष्ठ मार्कअप को इनपुट के रूप में अनुमति देते हैं।

आपको अभी भी उन पृष्ठों पर प्रोग्रामेटिक रूप से मान्य सत्यापन की आवश्यकता है जहां अनुरोध सत्यापन अक्षम है।

पिछले उत्तर बहुत अच्छे हैं, लेकिन किसी ने भी यह नहीं बताया कि HTML / जावास्क्रिप्ट इंजेक्शन के लिए किसी एकल क्षेत्र को कैसे मान्य किया जाए। मैं पिछले संस्करणों के बारे में नहीं जानता, लेकिन MVC3 बीटा में आप ऐसा कर सकते हैं:

[HttpPost, ValidateInput(true, Exclude = "YourFieldName")]
public virtual ActionResult Edit(int id, FormCollection collection)
{
    ...
}

यह अभी भी एक को छोड़कर सभी क्षेत्रों को मान्य करता है। इसके बारे में अच्छी बात यह है कि आपकी सत्यापन विशेषताएँ अभी भी फ़ील्ड को मान्य करती हैं, लेकिन आपको "संभावित रूप से खतरनाक अनुरोध नहीं मिला है। ग्राहक से अपवाद का पता लगाया गया था" अपवाद।

मैंने इसका उपयोग एक नियमित अभिव्यक्ति को मान्य करने के लिए किया है। मैंने अपना स्वयं का मान्यकरण बनाया है, यह देखने के लिए कि नियमित अभिव्यक्ति वैध है या नहीं। जैसा कि नियमित अभिव्यक्तियों में कुछ ऐसा हो सकता है जो एक स्क्रिप्ट की तरह दिखता है जिसे मैंने उपरोक्त कोड लागू किया है - नियमित अभिव्यक्ति की अभी भी जाँच की जा रही है कि क्या यह वैध है या नहीं, लेकिन इसमें स्क्रिप्ट या HTML नहीं है।

ASP.NET MVC में आपको web.config में requestValidationMode = "2.0" और validateRequest = "false" सेट करने की आवश्यकता है, और अपने नियंत्रक कार्रवाई के लिए एक ValidateInput विशेषता लागू करें:

<httpRuntime requestValidationMode="2.0"/>

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

तथा

[Post, ValidateInput(false)]
public ActionResult Edit(string message) {
    ...
}

आप HTML टेक्स्ट बॉक्स सामग्री को एन्कोड कर सकते हैं , लेकिन दुर्भाग्य से ऐसा होने से अपवाद नहीं होगा। मेरे अनुभव में कोई रास्ता नहीं है, और आपको पृष्ठ सत्यापन को अक्षम करना होगा। ऐसा करने से आप कह रहे हैं: "मैं सावधान रहूँगा, मैं वादा करता हूँ।"

MVC के लिए, इनपुट सत्यापन को जोड़कर अनदेखा करें

[ValidateInput (गलत)]

नियंत्रक में प्रत्येक क्रिया के ऊपर।

आप उस त्रुटि को Global.asax में पकड़ सकते हैं। मैं अभी भी मान्य करना चाहता हूं, लेकिन एक उचित संदेश दिखाता हूं। नीचे सूचीबद्ध ब्लॉग पर, इस तरह का एक नमूना उपलब्ध था।

    void Application_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();

        if (ex is HttpRequestValidationException)
        {
            Response.Clear();
            Response.StatusCode = 200;
            Response.Write(@"[html]");
            Response.End();
        }
    }

दूसरे पृष्ठ पर पुनर्निर्देशन भी अपवाद के लिए एक उचित प्रतिक्रिया की तरह लगता है।

http://www.romsteady.net/blog/2007/06/how-to-catch-httprequestvalidationexcep.html

इस प्रश्न का उत्तर सरल है:

var varname = Request.Unvalidated["parameter_name"];

यह विशेष अनुरोध के लिए सत्यापन को अक्षम कर देगा।

कृपया ध्यान रखें कि कुछ .NET नियंत्रण स्वचालित रूप से HTML आउटपुट को एनकोड करेंगे। उदाहरण के लिए, टेक्स्ट बॉक्स नियंत्रण पर .Text गुण सेट करना स्वचालित रूप से इसे एन्कोड करेगा। इसका मतलब है कि विशेष रूप <से <, >में >और &में परिवर्तित करना &। तो ऐसा करने से सावधान रहें ...

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

हालाँकि, हाइपरलिंक, लिटरल और लेबल के लिए .Text संपत्ति HTML चीजों को एन्कोड नहीं करेगी, इसलिए सर्वर को लपेटकर। एचटीएमएलनकोड (); इन गुणों के बारे में कुछ भी निर्धारित किया जाना चाहिए, यदि आप इसे रोकना चाहते हैं<script> window.location = "http://www.google.com"; </script> अपने पृष्ठ में आउटपुट होने से और बाद में निष्पादित होने से ।

यह देखने के लिए थोड़ा प्रयोग करें कि क्या एनकोड हो जाता है और क्या नहीं।

Web.config फ़ाइल में, टैग के भीतर, httpRuntime तत्व को विशेषता requestValidationMode = "2.0" के साथ डालें। पृष्ठ तत्व में validateRequest = "false" विशेषता भी जोड़ें।

उदाहरण:

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>

यदि आप ValidateRequest को अक्षम नहीं करना चाहते हैं, तो अपवाद से बचने के लिए आपको जावास्क्रिप्ट फ़ंक्शन लागू करना होगा। यह सबसे अच्छा विकल्प नहीं है, लेकिन यह काम करता है।

function AlphanumericValidation(evt)
{
    var charCode = (evt.charCode) ? evt.charCode : ((evt.keyCode) ? evt.keyCode :
        ((evt.which) ? evt.which : 0));

    // User type Enter key
    if (charCode == 13)
    {
        // Do something, set controls focus or do anything
        return false;
    }

    // User can not type non alphanumeric characters
    if ( (charCode <  48)                     ||
         (charCode > 122)                     ||
         ((charCode > 57) && (charCode < 65)) ||
         ((charCode > 90) && (charCode < 97))
       )
    {
        // Show a message or do something
        return false;
    }
}

फिर PageLoad घटना के पीछे कोड में, अगले कोड के साथ अपने नियंत्रण में विशेषता जोड़ें:

Me.TextBox1.Attributes.Add("OnKeyPress", "return AlphanumericValidation(event);")

ऐसा लगता है कि किसी ने अभी तक नीचे उल्लेख नहीं किया है, लेकिन यह मेरे लिए समस्या को ठीक करता है। और इससे पहले कि कोई कहे कि हाँ यह विज़ुअल बेसिक है ... हाँ।

<%@ Page Language="vb" AutoEventWireup="false" CodeBehind="Example.aspx.vb" Inherits="Example.Example" **ValidateRequest="false"** %>

मुझे नहीं पता कि कोई डाउनसाइड्स हैं या नहीं, लेकिन मेरे लिए यह आश्चर्यजनक है।

एक और उपाय है:

protected void Application_Start()
{
    ...
    RequestValidator.Current = new MyRequestValidator();
}

public class MyRequestValidator: RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        bool result = base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

        if (!result)
        {
            // Write your validation here
            if (requestValidationSource == RequestValidationSource.Form ||
                requestValidationSource == RequestValidationSource.QueryString)

                return true; // Suppress error message
        }
        return result;
    }
}

यदि आप फ्रेमवर्क 4.0 का उपयोग कर रहे हैं, तो web.config में प्रविष्टि (<पृष्ठ validateRequest = "false" />)

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

यदि आप फ्रेमवर्क 4.5 का उपयोग कर रहे हैं तो web.config में प्रवेश (requestValidationMode = "2.0")

<system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" requestValidationMode="2.0"/>
</system.web>

यदि आप केवल एकल पृष्ठ के लिए चाहते हैं, तो आप aspx फ़ाइल में आपको पहली पंक्ति इस प्रकार रखनी चाहिए:

<%@ Page EnableEventValidation="false" %>

अगर आपके पास पहले से <% @ पेज जैसा कुछ है तो बस बाकी => जोड़ें EnableEventValidation="false" %> जोड़ें

मैं इसे नहीं करने की सलाह देता हूं।

ASP.NET में, आप अपवाद को पकड़ सकते हैं और इसके बारे में कुछ कर सकते हैं, जैसे कि मैत्रीपूर्ण संदेश प्रदर्शित करना या किसी अन्य पृष्ठ पर पुनर्निर्देशित करना ... इसके अलावा एक संभावना है कि आप स्वयं द्वारा सत्यापन को संभाल सकते हैं ...

मैत्रीपूर्ण संदेश प्रदर्शित करें:

protected override void OnError(EventArgs e)
{
    base.OnError(e);
    var ex = Server.GetLastError().GetBaseException();
    if (ex is System.Web.HttpRequestValidationException)
    {
        Response.Clear();
        Response.Write("Invalid characters."); //  Response.Write(HttpUtility.HtmlEncode(ex.Message));
        Response.StatusCode = 200;
        Response.End();
    }
}

मुझे लगता है कि आप इसे एक मॉड्यूल में कर सकते हैं; लेकिन जो कुछ प्रश्न खोलते हैं; यदि आप किसी डेटाबेस में इनपुट सहेजना चाहते हैं तो क्या होगा? अचानक क्योंकि आप एन्कोडेड डेटा को उस डेटाबेस में सहेज रहे हैं, जिस पर आपको भरोसा है कि इससे इनपुट मिलता है, जो शायद एक बुरा विचार है। आदर्श रूप से आप डेटाबेस में कच्चे अनएन्कोडेड डेटा और हर बार एनकोड करते हैं।

प्रति पृष्ठ स्तर पर सुरक्षा को अक्षम करना और फिर हर बार एन्कोडिंग बेहतर विकल्प है।

Server.HtmlEncode का उपयोग करने के बजाय आपको Microsoft ACE टीम से नए, अधिक पूर्ण एंटी-XSS लाइब्रेरी को देखना चाहिए ।

कारण

ASP.NET डिफ़ॉल्ट रूप से संभावित असुरक्षित सामग्रियों के लिए सभी इनपुट नियंत्रणों को मान्य करता है जिससे क्रॉस-साइट स्क्रिप्टिंग (XSS) और SQL इंजेक्शन हो सकते हैं । इस प्रकार यह उपरोक्त अपवाद को फेंककर ऐसी सामग्री को अस्वीकार कर देता है। डिफ़ॉल्ट रूप से यह प्रत्येक चेकबैक पर इस चेक को होने देने के लिए अनुशंसित है।

समाधान

कई अवसरों पर आपको रिच टेक्स्टबॉक्स या रिच टेक्स्ट एडिटर्स के माध्यम से अपने पृष्ठ पर HTML सामग्री जमा करने की आवश्यकता होती है। उस स्थिति में आप ValidateRequest टैग @Pageको झूठे निर्देश में सेट करके इस अपवाद से बच सकते हैं ।

<%@ Page Language="C#" AutoEventWireup="true" ValidateRequest = "false" %>

यह उस पृष्ठ के लिए अनुरोधों के सत्यापन को अक्षम कर देगा, जिस पर आपने ValidateRequest ध्वज सेट किया है। यदि आप इसे अक्षम करना चाहते हैं, तो अपने संपूर्ण वेब एप्लिकेशन की जांच करें; आपको इसे अपने web.config <system.web> अनुभाग में झूठे पर सेट करना होगा

<pages validateRequest ="false" />

.NET 4.0 या उच्चतर फ्रेमवर्क के लिए आपको उपरोक्त कार्य करने के लिए <system.web> अनुभाग में निम्न पंक्ति भी जोड़नी होगी।

<httpRuntime requestValidationMode = "2.0" />

बस। मुझे उम्मीद है कि यह उपरोक्त मुद्दे से छुटकारा पाने में आपकी मदद करता है।

संदर्भ द्वारा: ASP.Net त्रुटि: संभावित रूप से खतरनाक Request.Form मान क्लाइंट से पाया गया था

मुझे एक समाधान मिला, जो डेटा को एन्कोड करने के लिए जावास्क्रिप्ट का उपयोग करता है, जो .NET में डिकोड किया गया है (और jQuery की आवश्यकता नहीं है)।

• टेक्स्ट बॉक्स को ASP के बजाय HTML एलिमेंट (textarea की तरह) बनाएं।
• एक छिपा हुआ क्षेत्र जोड़ें।

• अपने शीर्ष लेख में निम्न जावास्क्रिप्ट फंक्शन जोड़ें।

  function boo () {targetText = document.getElementById ("हिडनफ़िल्ड 1"); sourceText = document.getElementById ("userbox"); targetText.value = भागने (sourceText.innerText); }

अपने टेक्स्टारिया में, एक ऑनकॉन्ग शामिल करें जो बोओ () कहता है:

<textarea id="userbox"  onchange="boo();"></textarea>

अंत में, .NET में, उपयोग करें

string val = Server.UrlDecode(HiddenField1.Value);

मुझे पता है कि यह एक तरफ़ा है - अगर आपको दो तरफ़ा ज़रूरत है तो आपको रचनात्मक होना पड़ेगा, लेकिन यदि आप web को संपादित नहीं कर सकते हैं तो यह एक समाधान प्रदान करता है।

यहाँ एक उदाहरण I (MC9000) आया और jQuery के माध्यम से उपयोग किया गया:

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

और मार्कअप:

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

यह बहुत अच्छा काम करता है। यदि कोई हैकर जावास्क्रिप्ट को दरकिनार करके पोस्ट करने की कोशिश करता है, तो वे केवल त्रुटि देखेंगे। आप एक डेटाबेस में इनकोड किए गए सभी डेटा को भी सहेज सकते हैं, फिर इसे (सर्वर की तरफ) अनसेस्केप करें, और कहीं और प्रदर्शित करने से पहले पार्स और हमलों की जांच करें।

यहाँ अन्य समाधान अच्छे हैं, हालाँकि हर एक मॉडल प्रॉपर्टी में [AllowHtml] लागू करने के लिए इसके पीछे एक शाही दर्द का एक सा है, खासकर यदि आपके पास एक सभ्य आकार की साइट पर 100 से अधिक मॉडल हैं।

यदि मेरी तरह, आप इसे (IMHO सुंदर व्यर्थ) सुविधा को बंद करना चाहते हैं, तो आप अपने बेस कंट्रोलर में Execute () विधि को ओवरराइड कर सकते हैं (यदि आपके पास पहले से कोई आधार नियंत्रक नहीं है जो मैं आपको एक बनाने का सुझाव देता हूं, तो वे हो सकते हैं आम कार्यक्षमता को लागू करने के लिए बहुत उपयोगी)।

    protected override void Execute(RequestContext requestContext)
    {
        // Disable requestion validation (security) across the whole site
        ValidateRequest = false;
        base.Execute(requestContext);
    }

बस सुनिश्चित करें कि आप HTML सब कुछ हैं जो उपयोगकर्ता इनपुट से आए विचारों के लिए पंप किए गए हैं (यह वैसे भी ASP.NET MVC 3 में रेजर के साथ डिफ़ॉल्ट व्यवहार है, इसलिए जब तक कि कुछ विचित्र कारण के लिए आप Html.Raw का उपयोग नहीं कर रहे हैं) इस सुविधा की आवश्यकता नहीं होनी चाहिए।

मुझे यह त्रुटि भी मिल रही थी।

मेरे मामले में, एक उपयोगकर्ता ने áरोल नाम (ASP.NET सदस्यता प्रदाता के बारे में) में एक उच्चारण चरित्र दर्ज किया ।

मैं उपयोगकर्ताओं को उस भूमिका को देने के लिए एक भूमिका नाम देता हूं और $.ajaxपोस्ट अनुरोध बुरी तरह से विफल हो रहा था ...

मैंने इस समस्या को हल करने के लिए ऐसा किया:

के बजाय

data: { roleName: '@Model.RoleName', users: users }

यह करो

data: { roleName: '@Html.Raw(@Model.RoleName)', users: users }

@Html.Raw चाल चली।

मुझे HTML मान के रूप में भूमिका नाम मिल रहा था roleName="Cadastro bás"। HTML इकाई के साथ यह मान áASP.NET MVC द्वारा अवरुद्ध किया जा रहा था। अब मुझे roleNameपैरामीटर मान मिलता है जिस तरह से यह होना चाहिए: roleName="Cadastro Básico"और ASP.NET MVC इंजन अब अनुरोध को ब्लॉक नहीं करेगा।

पेज सत्यापन अक्षम यदि आप वास्तव में की तरह, विशेष वर्ण की जरूरत है >,, <, आदि तो सुनिश्चित जब उपयोगकर्ता इनपुट प्रदर्शित किया जाता है, डेटा HTML एन्कोड है।

पृष्ठ सत्यापन के साथ सुरक्षा भेद्यता है, इसलिए इसे बायपास किया जा सकता है। साथ ही पृष्ठ सत्यापन को पूरी तरह से निर्भर नहीं होना चाहिए।

देखें: http://web.archive.org/web/20080913071637/http://www.procheckup.com:80/PDFs/bypassing-dot-NET-ValidateRequest.pdf

आप विशेष वर्णों को बदलने के लिए जावास्क्रिप्ट एस्केप (स्ट्रिंग) फ़ंक्शन का भी उपयोग कर सकते हैं । फिर सर्वर साइड सर्वर का उपयोग करें। URLDecode (स्ट्रिंग) इसे वापस स्विच करने के लिए।

इस तरह आपको इनपुट सत्यापन बंद नहीं करना है और यह अन्य प्रोग्रामर के लिए अधिक स्पष्ट होगा कि स्ट्रिंग में HTML सामग्री हो सकती है।

मैंने प्रत्येक पोस्टबैक से पहले जावास्क्रिप्ट का उपयोग करना समाप्त कर दिया, जो आप नहीं चाहते थे, जैसे कि:

<asp:Button runat="server" ID="saveButton" Text="Save" CssClass="saveButton" OnClientClick="return checkFields()" />

function checkFields() {
    var tbs = new Array();
    tbs = document.getElementsByTagName("input");
    var isValid = true;
    for (i=0; i<tbs.length; i++) {
        if (tbs(i).type == 'text') {
            if (tbs(i).value.indexOf('<') != -1 || tbs(i).value.indexOf('>') != -1) {
                alert('<> symbols not allowed.');
                isValid = false;
            }
        }
    }
    return isValid;
}

दी मेरा पेज ज्यादातर डेटा प्रविष्टि है, और बहुत कम तत्व हैं जो पोस्टबैक करते हैं, लेकिन कम से कम उनके डेटा को बनाए रखा जाता है।

आप कुछ का उपयोग कर सकते हैं जैसे:

var nvc = Request.Unvalidated().Form;

बाद में, nvc["yourKey"]काम करना चाहिए।

जब तक ये केवल "<" और ">" (और दोहरे उद्धरण ही नहीं) वर्ण हैं और आप इन्हें संदर्भ में उपयोग कर रहे हैं जैसे <input value = " this " />, आप सुरक्षित हैं (<textarea के लिए) > यह एक </ textarea> आप निश्चित रूप से कमजोर होगा)। यह आपकी स्थिति को आसान बना सकता है, लेकिन कुछ भी अधिक के लिए अन्य पोस्ट किए गए समाधानों में से एक का उपयोग करें।

यदि आप अपने उपयोगकर्ताओं को यह बताना चाहते हैं कि <और> BUT का उपयोग नहीं किया जा रहा है, तो आप नहीं चाहते कि पूरा फॉर्म संसाधित / पोस्टेड वापस हो जाए (और सभी इनपुट खो दें) इससे पहले कि आप बस एक में नहीं डाल सकते उन (और शायद अन्य संभावित रूप से खतरनाक) पात्रों के लिए क्षेत्र के चारों ओर सत्यापनकर्ता?

किसी भी सुझाव ने मेरे लिए काम नहीं किया। मैं किसी भी तरह से पूरी वेबसाइट के लिए इस सुविधा को बंद नहीं करना चाहता था क्योंकि 99% समय मैं नहीं चाहता कि मेरे उपयोगकर्ता HTML को वेब रूपों पर रखें। मैंने इस पद्धति के आसपास अपना काम खुद बनाया है क्योंकि मैं इस विशेष एप्लिकेशन का उपयोग कर रहा हूं। मैं इनपुट को पीछे के कोड में HTML में परिवर्तित करता हूं और इसे अपने डेटाबेस में सम्मिलित करता हूं।