ASP.NET 4.0中使用FCKeditor遇到安全问题警告的解决办法

原因分析及解决办法


ASP.Net 1.1后引入了对提交表单自动检查是否存在XSS(Cross-Site Scripting Attack,跨站脚本攻击)的能力。

当用户试图用FCKeditor之类的输入影响页面返回结果的时候,ASP.Net的引擎会引发一个 HttpRequestValidationExceptioin。

也就是说,页面请求(request)时,含有html或javascript等字符串时。ASP.NET会认为是危险的值,就会抛出辞异常。

 

以下三种方法是针对ASP.NET 2.0或ASP.NET 3.5环境下的解决办法。

  • 解决方法一

在页面上加入 <% Page ValidateRequest="false" %>

  • 解决方法二

     修改Web.Config配置文件的<pages>标签。<pages validateRequest="false">...</pages>。

     这个方法会将所有的页面校验功能去掉,所以不推荐使用此方法。

  • 解决方法三

     捕获异常,这样你就可以自己来定义异常的提示方式。

 

针对MVC解决办法

    MVC的验证方法和asp.net form不一样, 上面方法一和方法二无效,原因参见http://tech.ddvip.com/2009-10/1255277472135311.html

    只能通过设置ValidateInputAttribute解决.

[ValidateInput(false)]
[AcceptVerbs(HttpVerbs.Post)]
public virtual JsonResult Create(T model)

 

Asp.net 4.0 

如果是Asp.net 4.0还需要在web.config中设置

<httpRuntime requestValidationMode=”2.0″ />。

 

原因为是ASP.NET 4.0请求验证模式发生变化:

在之前的ASP.NET版本中,请求验证是默认启用的,但是它只对页面请求有效(请求.aspx页面),并且也只是在页面被请求时验证。但是在ASP.NET 4.0中,请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前,这也就意味着所有进入ASP.NET请求通道的所有的HTTP请求都将会被进行请求内容合法性的验证,包括有的自定义HttpHandler,WebService请求,甚至于利用自定义Http Module进行自定义请求处理程序。

请求验证处理被提前的后果就是导致我们在页面,或者Controller中设置 ValidateRequest=false,将会失效,无法阻止程序不去验证请求的输入内容了。因为这样做后,验证器无法得到请求的页面是否禁用了验证请求,因为还没有实例化HttpHandler。

在ASP.NET4.0中,并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑,ASP.NET允许我们通过在web.config中配置使用ASP.NET 2.0的请求验证行为:

<httpRuntime requestValidationMode=”2.0″ />。

posted @ 2012-09-14 12:15  Season2009  阅读(248)  评论(0编辑  收藏  举报