• 设为首页
  • 点击收藏
  • 手机版
    手机扫一扫访问
    迪恩网络手机版
  • 关注官方公众号
    微信扫一扫关注
    公众号

ASP.net中的validaterequest

原作者: [db:作者] 来自: [db:来源] 收藏 邀请
这个属性是用来验证客户端用户的输入的,用来验证用户的输入中是否有危险字符的,这个属性的默认值为true,微软之所以这么做是为了提高asp.net程序的安全性,所以很多程序员即使不知道怎么来防御黑客的攻击,asp.net的一些默认属性等内容已经对安全进行了控制,这也是为什么asp.net的程序相对来说比较安全的原因!
  既然这个属性的默认值为true,而且asp.net页面的回发又很频繁,那么如果没有用户的交互的地方,这样asp.net 岂不是每次都要去严整呢,这样也是有可能会来回的损耗系统的执行时间的,至于:如果没有客户端的交互的话,到底asp.net会不会去验证这是微软的工程师的问题了,对于我们来说,如果没有客户端交互的地方,我感觉是应该将此属性设置为 false的,这样的话无论 微软的工程师怎样设计,对我们程序的本身是没有任何影响的!
  直接关闭这个属性的方法是:
  1、在aspx页面的属性里写“validaterequest="false"”
  2、在web.config里设置
<configuration>
   <system.web>
      <pages validateRequest="false"/>

   </system.web>
</configuration>

  但是当需要跟用户交互的地方,我们就要用它的默认值了,可是事情可能并没有我们想象的那么简单,也没有那么完美,当用户在使用一些html编辑器的时候,自己本身提交的字符里就有等这样的字符,这样就要求程序员必须要关闭validaterequest 属性,这个时候我们又该怎样的来控制asp.net页面的安全性能呢?
  当然了,这个地方我们可以来对一切危险字符进行过滤,这样可能提高一些安全性,但是我们防止用户的输入可能考虑的会有遗漏,这样就导致了安全还会是有问题的,我们可以反过来考虑我们到底需要提交多少特殊字符,然后对我们提交的特殊字符进行转义或替换,这样我们就又可以将validaterequest的属性设置为true了,这样既解决了程序的安全问题又满足了我们的需求!
  有时候在与用户进行交互的时候,用户难免的会有输入特殊字符的时候,因为我们设置的validaterequest 的值 为true所以页面会不给任何提示的前提下, 直接输出一大页的错误信息, 这样可能就导致了用户的误解,他们可能认为是我们网站出了问题,用户不可能会想到他输入了非法的字符! 对于这种情况我们又该怎么办呢?
  答案是可以使用Page_Error的处理事件:
protected void Page_Error(object sender, EventArgs e)
    {
       Exception ex = Server.GetLastError();
       if (ex is HttpRequestValidationException)
       {
        Response.Write("您输入的字符中有非法字符!");
        Server.ClearError();
        }
     }

1.它所在的命名空间:System.Web.Configuration
2.程序集:System.Web(在 system.web.dll 中)
3.所在的类:pagesSection

至于在最新的MVC模式中如何关闭这个属性,方法如下(超简单):
[ValidateInput(false)]
public ActionResult Index()  
{
    return View();
}
 

鲜花

握手

雷人

路过

鸡蛋
该文章已有0人参与评论

请发表评论

全部评论

专题导读
上一篇:
Asp.netMVCRazor模板引擎技巧分享发布时间:2022-07-10
下一篇:
(转)ASP.NET反射发布时间:2022-07-10
热门推荐
热门话题
阅读排行榜

扫描微信二维码

查看手机版网站

随时了解更新最新资讯

139-2527-9053

在线客服(服务时间 9:00~18:00)

在线QQ客服
地址:深圳市南山区西丽大学城创智工业园
电邮:jeky_zhao#qq.com
移动电话:139-2527-9053

Powered by 互联科技 X3.4© 2001-2213 极客世界.|Sitemap