Mos*_*afa 4 asp.net xss validation freetextbox
我在我的asp.net项目中的一些webforms中使用FreeTextBox HTML编辑器.如果我没有将ValidateRequest属性设置为false,我会收到此错误:
从客户端检测到潜在危险的Request.Form值
但是在管理文件夹中没问题,因为只有授权用户才有权使用它.但是公共页面怎么样,每个用户都可以访问的部分留下评论(使用FreeTextBox收集用户评论)?对XSS攻击没有风险吗?如果答案不是,那么ValidateRequest属性是什么?
不,你是对的,这是有潜在危险的.它背后的想法是.net不想限制它的控件可以做什么,但同时消除了安全漏洞的许多可能性.ValidateRequest属性就在那里,所以你可以告诉ASP.NET,"嘿,不要担心这个.我将自己验证它,因为我期待一些可能对你来说很危险的东西."
它设置为默认验证响应,因为不验证潜在的xss攻击是危险的,并且最好得到一个你没有意识到的验证错误,而不是你的网站遭到攻击.
| 归档时间: |
|
| 查看次数: |
2083 次 |
| 最近记录: |