国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

ASP.Net 1.1后引入了對(duì)提交表單自動(dòng)檢查是否存在XSS(跨站腳本攻擊)的能力。當(dāng)用戶試圖用之類的輸入影響頁(yè)面返回結(jié)果的時(shí)候，ASP.Net的引擎會(huì)引發(fā)一 個(gè) HttpRequestValidationExceptioin。默認(rèn)情況下會(huì)返回如下文字的頁(yè)面：

以下是引用片段：
Server Error in '/YourApplicationPath' Application

A potentially dangerous Request.Form value was detected from the client
(txtName="<b>").

Description: Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted. This value may indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. You can disable request validation by setting validateRequest=false in the Page directive or in the configuration section. However, it is strongly recommended that your application explicitly check all inputs in this case.

Exception Details: System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client (txtName="<b>").

....

　　這是ASP.Net提供的一個(gè)很重要的安全特性。因?yàn)楹芏喑绦騿T對(duì)安全沒(méi)有概念，甚至都不知道XSS這種攻擊的存在，知道主動(dòng)去防護(hù)的就更少了。ASP.Net在這一點(diǎn)上做到默認(rèn)安全。這樣讓對(duì)安全不是很了解的程序員依舊可以寫(xiě)出有一定安全防護(hù)能力的網(wǎng)站。

　　但是，當(dāng)我Google搜索 HttpRequestValidationException 或者 "A potentially dangerous Request.Form value was detected from the client"的時(shí)候，驚奇的發(fā)現(xiàn)大部分人給出的解決方案竟然是在ASP.Net頁(yè)面描述中通過(guò)設(shè)置 validateRequest=false 來(lái)禁用這個(gè)特性，而不去關(guān)心那個(gè)程序員的網(wǎng)站是否真的不需要這個(gè)特性。看得我這叫一個(gè)膽戰(zhàn)心驚。安全意識(shí)應(yīng)該時(shí)時(shí)刻刻在每一個(gè)程序員的心里，不管你對(duì)安全的概念了解多少，一個(gè)主動(dòng)的意識(shí)在腦子里，你的站點(diǎn)就會(huì)安全很多。

　　為什么很多程序員想要禁止 validateRequest 呢?有一部分是真的需要用戶輸入"<>"之類的字符。這就不必說(shuō)了。還有一部分其實(shí)并不是用戶允許輸入那些容易引起XSS的字符，而是討厭這 種報(bào)錯(cuò)的形式，畢竟一大段英文加上一個(gè)ASP.Net典型異常錯(cuò)誤信息，顯得這個(gè)站點(diǎn)出錯(cuò)了，而不是用戶輸入了非法的字符，可是自己又不知道怎么不讓它報(bào)錯(cuò)，自己來(lái)處理報(bào)錯(cuò)。

　　對(duì)于希望很好的處理這個(gè)錯(cuò)誤信息，而不使用默認(rèn)ASP.Net異常報(bào)錯(cuò)信息的程序員們，你們不要禁用validateRequest=false。

　　正確的做法是在你當(dāng)前頁(yè)面添加Page_Error()函數(shù)，來(lái)捕獲所有頁(yè)面處理過(guò)程中發(fā)生的而沒(méi)有處理的異常。然后給用戶一個(gè)合法的報(bào)錯(cuò)信 息。如果當(dāng)前頁(yè)面沒(méi)有Page_Error()，這個(gè)異常將會(huì)送到Global.asax的Application_Error()來(lái)處理，你也可以在那 里寫(xiě)通用的異常報(bào)錯(cuò)處理函數(shù)。如果兩個(gè)地方都沒(méi)有寫(xiě)異常處理函數(shù)，才會(huì)顯示這個(gè)默認(rèn)的報(bào)錯(cuò)頁(yè)面呢。

　　舉例而言，處理這個(gè)異常其實(shí)只需要很簡(jiǎn)短的一小段代碼就夠了。在頁(yè)面的Code-behind頁(yè)面中加入這么一段代碼：

以下是引用片段：
protected void Page_Error(object sender, EventArgs e)
{
Exception ex = Server.GetLastError();
if (ex is HttpRequestValidationException)
{
Response.Write("請(qǐng)您輸入合法字符串。");
Server.ClearError(); // 如果不ClearError()這個(gè)異常會(huì)繼續(xù)傳到Application_Error()。
}
}

　　這樣這個(gè)程序就可以截獲 HttpRequestValidationException 異常，而且可以按照程序員的意愿返回一個(gè)合理的報(bào)錯(cuò)信息。

　　這段代碼很簡(jiǎn)單，所以我希望所有不是真的要允許用戶輸入之類字符的朋友，千萬(wàn)不要隨意的禁止這個(gè)安全特性，如果只是需要異常處理，那么請(qǐng)用類似于上面的代碼來(lái)處理即可。

　　而對(duì)于那些通過(guò) 明確禁止了這個(gè)特性的程序員，自己一定要明白自己在做什么，而且一定要自己手動(dòng)的檢查必須過(guò)濾的字符串，否則你的站點(diǎn)很容易引發(fā)跨站腳本攻擊。

　　關(guān)于存在Rich Text Editor的頁(yè)面應(yīng)該如何處理?

　　如果頁(yè)面有富文本編輯器的控件的，那么必然會(huì)導(dǎo)致有類的HTML標(biāo)簽提交回來(lái)。在這種情況下，我們不得不將validateRequest="false"。那么安全性怎么處理?如何在這種情況下最大限度的預(yù)防跨站腳本攻擊呢?

　　根據(jù)微軟的建議，我們應(yīng)該采取安全上稱為“默認(rèn)禁止，顯式允許”的策略。

　　首先，我們將輸入字符串用 HttpUtility.HtmlEncode()來(lái)編碼，將其中的HTML標(biāo)簽徹底禁止。

　　然后，我們?cè)賹?duì)我們所感興趣的、并且是安全標(biāo)簽，通過(guò)Replace()進(jìn)行替換。比如，我們希望有""標(biāo)簽，那么我們就將""顯式的替換回""。

　　示例代碼如下：

以下是引用片段：
void submitBtn_Click(object sender, EventArgs e)
...{
// 將輸入字符串編碼，這樣所有的HTML標(biāo)簽都失效了。
StringBuilder sb = new StringBuilder(
HttpUtility.HtmlEncode(htmlInputTxt.Text));
// 然后我們選擇性的允許<b> 和 <i>
sb.Replace("<b>", "<b>");
sb.Replace("</b>", "");
sb.Replace("<i>", "<i>");
sb.Replace("</i>", "");
Response.Write(sb.ToString());
}

　　這樣我們即允許了部分HTML標(biāo)簽，又禁止了危險(xiǎn)的標(biāo)簽。

　　根據(jù)微軟提供的建議，我們要慎重允許下列HTML標(biāo)簽，因?yàn)檫@些HTML標(biāo)簽都是有可能導(dǎo)致跨站腳本攻擊的。

以下是引用片段：
# <applet>
# <body>
# <embed>
# <frame>
# <script>
# <frameset>
# <html>
# <iframe>
# <img>
# <style>
# <layer>
# <link>
# <ilayer>
# <meta>
# <object>

　　可能這里最讓人不能理解的是<img>。但是，看過(guò)下列代碼后，就應(yīng)該明白其危險(xiǎn)性了。

以下是引用片段：
<img src="javascript:alert('hello');">
<img src="java script:alert('hello');">
<img src="java script:alert('hello');">

　　通過(guò)<img>標(biāo)簽是有可能導(dǎo)致javascript執(zhí)行的，這樣攻擊者就可以做他想偽裝的任何事情。

　　關(guān)于<style>也是一樣：

以下是引用片段：
<style TYPE="text/javascript">...
alert('hello');
</style>

從客戶端中檢測(cè)到有潛在危險(xiǎn)的 Request.Form 值
由于在.net中，Request時(shí)出現(xiàn)有HTML或Javascript等字符串時(shí)，系統(tǒng)會(huì)認(rèn)為是危險(xiǎn)性值。立馬報(bào)錯(cuò)上面的錯(cuò)誤。
解決辦法：
解決方案一：
在.aspx文件頭中加入這句：
<%@ Page validateRequest="false"   %>
解決方案二：
修改web.config文件:
<configuration>
<system.web>
<pages validateRequest="false" />
</system.web>
</configuration>
因?yàn)?span lang="EN-US">validateRequest默認(rèn)值為true。只要設(shè)為false即可。
當(dāng)然，這樣只能是讓界面好看一些，要想抵制注入，還得從過(guò)濾上做足功夫
然后，還是有不禁用validateRequest的方法的，如下
不禁用validateRequest=false。
正確的做法是在你當(dāng)前頁(yè)面添加Page_Error()函數(shù)，來(lái)捕獲所有頁(yè)面處理過(guò)程中發(fā)生的而沒(méi)有處理的異常。然后給用戶一個(gè)合法的報(bào)錯(cuò)信息。如果當(dāng)前頁(yè)面沒(méi)有Page_Error()，這個(gè)異常將會(huì)送到Global.asax的Application_Error()來(lái)處理，你也可以在那里寫(xiě)通用的異常報(bào)錯(cuò)處理函數(shù)。如果兩個(gè)地方都沒(méi)有寫(xiě)異常處理函數(shù)，才會(huì)顯示這個(gè)默認(rèn)的報(bào)錯(cuò)頁(yè)面呢。
舉例而言，處理這個(gè)異常其實(shí)只需要很簡(jiǎn)短的一小段代碼就夠了。在頁(yè)面的Code-behind頁(yè)面中加入這么一段代碼： 
以下是引用片段：
protected void Page_Error(object sender, EventArgs e)
{
Exception ex = Server.GetLastError();
if (ex is HttpRequestValidationException)
{
Response.Write("請(qǐng)您輸入合法字符串。");
Server.ClearError(); // 如果不ClearError()這個(gè)異常會(huì)繼續(xù)傳到Application_Error()。
}
}

本站僅提供存儲(chǔ)服務(wù)，所有內(nèi)容均由用戶發(fā)布，如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請(qǐng)點(diǎn)擊舉報(bào)。