大家好,又见面了,我是你们的朋友全栈君。
validateRequest=false 是禁用了请求验证,同时他也就把一些安全的意识给去掉了,比如跨服务器脚本攻击(xss)。(建议不要这样做)
想要截获错误的信息给用户一个好的体验。
1 protected void Page_Error(object sender, EventArgs e) 2 { 3 Exception ex = Server.GetLastError(); 4 if (ex is HttpRequestValidationException) 5 { 6 Response.Write("请您输入合法字符串。"); 7 Server.ClearError(); // 如果不ClearError()这个异常会继续传到Application_Error()。 8 } 9 }
Application_Error()
或者直接到 Application_Error() 里面去处理错误的回应 。
关于存在Rich Text Editor的页面应该如何处理?
如果页面有富文本编辑器的控件的,那么必然会导致有类的HTML标签提交回来。在这种情况下,我们不得不将validateRequest=”false”。那么安全性怎么处理?如何在这种情况下最大限度的预防跨站脚本攻击呢?
根据微软的建议,我们应该采取安全上称为“默认禁止,显式允许”的策略。
首先,我们将输入字符串用 HttpUtility.HtmlEncode()来编码,将其中的HTML标签彻底禁止。
然后,我们再对我们所感兴趣的、并且是安全标签,通过Replace()进行替换。比如,我们希望有””标签,那么我们就将””显式的替换回””。
示例代码如下
1 以下是引用片段: 2 void submitBtn_Click(object sender, EventArgs e) 3 ...{ 4 // 将输入字符串编码,这样所有的HTML标签都失效了。 5 StringBuilder sb = new StringBuilder( 6 HttpUtility.HtmlEncode(htmlInputTxt.Text)); 7 // 然后我们选择性的允许<b> 和 <i> 8 sb.Replace("<b>", "<b>"); 9 sb.Replace("</b>", ""); 10 sb.Replace("<i>", "<i>"); 11 sb.Replace("</i>", ""); 12 Response.Write(sb.ToString()); 13 }
View Code
转载于:https://www.cnblogs.com/lihui1987/p/3158164.html
版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。
发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/132778.html原文链接:https://javaforall.net
