如何解决从客户端&中检测到潜在危险的Request.Path值
|| 我知道为什么会这样,但是我需要解决方法。我在StackOverflow上调查了其他一些问题,但是这些问题都没有帮助。我不想在整个网站上禁用输入验证,因为这绝对是危险的。我只有一个地方(至少到目前为止)需要禁用输入验证。 我用[ValidateInput(false)]属性装饰了Action Method,然后用Html.Encode对字符串进行编码。但是,我仍然遇到相同的错误。这是我的观点:<div id=\"sharwe-categories\">
<ul class=\"menu menu-vertical menu-accordion\">
@foreach(var topLevel in Model)
{
var topLevelName = Html.Encode(topLevel.Name);
<li class=\"topLevel\">
<h3>
@Html.ActionLink(topLevel.Name,\"Index\",\"Item\",new { category = topLevelName },new {@class = \"main\"} )
<a href=\"#\" class=\"drop-down\"></a>
</h3>
<ul>
@foreach (var childCategory in topLevel.Children)
{
var childcategoryName = Html.Encode(childCategory.Name);
<li>@Html.ActionLink(childCategory.Name,new RouteValueDictionary { { \"category\",topLevelName },{ \"subcategory\",childcategoryName } },null)</li>
}
</ul>
</li>
}
</ul>
</div>
解决方法
尽管Darin的答案是完全可行的,但我不建议您使用Scott Hanselman的技术来逐步关闭所有这些验证。你迟早会陷入深渊...
第二种建议是将ID与伪字符串(对于SEO和人员非常有用)一起使用是一种可行的方法,但是有时它们也不可行。想象一下这个请求URL:
部分中输入以下内容:
标记中即可。这样,您就不会打开整个站点以允许在路径中使用&号,并且可能会使整个站点遭受无法预料的攻击。
,您可能会发现以下博客文章对在URL中使用特殊字符很有用。但是通常,最好的做法是将这些标题替换为与StackOverflow相同的子句,在URL中使用问题标题以获得更好的SEO,并使用ID进行标识。
/111/Electronics/222/Computers/333/Apple
(\\w{2,})([a-zA-Z0-9]{2,})<httpRuntime requestPathInvalidCharacters=\"<,>,*,%,:,\\\" />
<location path=\"the/path/you/need/to/lock/down\">
<system.web>
<httpRuntime requestPathInvalidCharacters=\"<,\\\"/>
</system.web>
</location>
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
