62,046
社区成员
发帖
与我相关
我的任务
分享怎么防止客户端非法输入??
为了防止客户端非法输入,我在.cs文件中用了
string strRemark = Server.HtmlEncode(txtRemark.Text.Trim()).ToString().Replace("<script>","<<script>>");
但运行的时候,我输入<script>{alert("ok");}</script>出错,错误信息如下:
从客户端(txtRemark="<script>{alert("ok")...")中检测到有潜在危险的 Request.Form 值。
我想问的是,为什么我作了屏闭操作,还是会报错,
string strRemark = Server.HtmlEncode(txtRemark.Text.Trim()).ToString().Replace("<script>","<<script>>");
但运行的时候,我输入<script>{alert("ok");}</script>出错,错误信息如下:
从客户端(txtRemark="<script>{alert("ok")...")中检测到有潜在危险的 Request.Form 值。
我想问的是,为什么我作了屏闭操作,还是会报错,
...全文
请发表友善的回复…
发表回复
Jianyi 2004-09-10
- 打赏
- 举报
楼上说的是,若只允许一个页面接受html类型的数据,可在页面的page指令中添加:
validateRequest="false"
出错页面有相关信息嘛:
请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。
validateRequest="false"
出错页面有相关信息嘛:
请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。
foxtwobao 2004-09-10
- 打赏
- 举报
<script>等html标签的检测是frame work自己做的,是application级别的错误,也就是说还没有执行到你的代码frame work就检测到错误了抛出了。
你可以关闭自动监测:
编辑web.config,在<system.web>里 加入 <pages validateRequest="false"/>
你可以关闭自动监测:
编辑web.config,在<system.web>里 加入 <pages validateRequest="false"/>
