ASP.NET 4.0: 请求验证模式变化导致ValidateRequest=false失效

ASP.NET请求验证功能可以给我提供应用程序的安全保证，避免站点受到XSS的攻击。但是在一些情况下，我们需要禁用这个功能，比如我们需要使用HtmlEditor来让用户输入一些HTML文本，这时候ASP.NET 2.0允许我们可以通过在web.config设置validateRequest="false"。或者在MVC中，我们可以通过在Controller或者Action上设置[ValidateRequest(false)]这个特性来达到禁用的上的。但是在当你把站点从旧版本升级到ASP.NET 4.0后，你会发现，即使你这样做，仍然会提示你这样的一个异常“A potentially dangerous Request.Form value was detected from the client”。该如何来解决这个问题呢？

在之前的ASP.NET版本中，请求验证是默认启用的，但是它只对页面请求有效（请求.aspx页面），并且也只是在页面被请求时验证。但是在ASP.NET 4.0中，请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前，这也就意味着所有进入ASP.NET请求通道的所有的HTTP请求都将会被进行请求内容合法性的验证，包括有的自定义HttpHandler，WebService请求，甚至于利用自定义Http Module进行自定义请求处理程序。

请求验证处理被提前的后果就是导致我们在页面，或者Controller中设置ValidateRequest=false，将会失效，无法阻止程序不去验证请求的输入内容了。因为这样做后，验证器无法得到请求的页面是否禁用了验证请求，因为还没有实例化HttpHandler。并且在ASP.NET4.0中，并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑，ASP.NET允许我们通过在web.config中配置使用ASP.NET 2.0的请求验证行为：<httpRuntime requestValidationMode=”2.0″ />。

完全禁用或不禁用请求验证功能，对程序员来说都不是特别方便。出现安全性和程序可用性考虑，一个折中的方案可能是自己写一个验证处理器，来过滤掉一些我们不希望出现的html标签，而不是一见到”<>” 就害怕。因为XSS的一个很重要的标签是<script> ，那我们就可以通过写一个自定义的验证来过滤<script>，当看到用户提交这个标签就才报告非法输入，下面是一个示例源码：

以上段落可能会引起关于如何防止XSS攻击的歧义，特此删除。以下代码仅用于演示开发人员如何编写自定义的请求输入验证器，根据自己需要决定允许请求哪些数据：

using System;
using System.Collections.Generic;
using System.Linq;
using System.Web;
using System.Web.Util;
 
namespace Globals
{
/// <summary>
/// Summary description for CustomRequestValidation
/// </summary>
public class CustomRequestValidation : RequestValidator
{
public CustomRequestValidation() { }
protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
{
//block script tags
var idx = value.ToLower().IndexOf(“<script”);
if (idx > -1)
{
validationFailureIndex = idx;
return false;
}
else
{
validationFailureIndex = 0;
return true;
}
}
}
}