Fatal编程技术网
  • .net/
  • 如何防止特殊标签插入文本框?在asp.net中

如何防止特殊标签插入文本框?在asp.net中

.net asp.net

如何防止特殊标签插入文本框?在asp.net中,.net,asp.net,.net,Asp.net,是否有任何财产或职能是为了防止上述问题 我做了一份登记表。。我的朋友在用户名中插入了标签。。它将在服务器端引发一个错误。。我试图阻止它。但是。。它不能 我做到了。。看看这条线 txt_countryname.Text = HttpUtility.HtmlEncode(txt_countryname.Text); 但它不起作用Sikender 0秒前[删除此评论] 帮帮我 Server.HtmlEncodeServer.HtmlEncode我会看一看。我会看一看。这种行为有一个很好的理由——避免

是否有任何财产或职能是为了防止上述问题

我做了一份登记表。。我的朋友在用户名中插入了标签。。它将在服务器端引发一个错误。。我试图阻止它。但是。。它不能

我做到了。。看看这条线

txt_countryname.Text = HttpUtility.HtmlEncode(txt_countryname.Text);
但它不起作用Sikender 0秒前[删除此评论]

帮帮我

Server.HtmlEncode

Server.HtmlEncode

我会看一看。

我会看一看。

这种行为有一个很好的理由——避免攻击

可以通过将以下内容添加到web.config来禁用:

<configuration>
    <system.web>  
        <pages validateRequest="false" />
    </system.web> 
</configuration>
通读以了解为什么禁用请求验证是个坏主意

正如CodeMonkey所指出的,您也可以在@page指令中的单个页面上执行此操作:

<%@ Page validateRequest="false" %>
通过不将所有页面暴露于xss,哪一种方法会更好。

这种行为有很好的理由——避免攻击

可以通过将以下内容添加到web.config来禁用:

<configuration>
    <system.web>  
        <pages validateRequest="false" />
    </system.web> 
</configuration>
通读以了解为什么禁用请求验证是个坏主意

正如CodeMonkey所指出的,您也可以在@page指令中的单个页面上执行此操作:

<%@ Page validateRequest="false" %>
通过不将所有页面暴露于xss,哪种方法更好。

您还可以使用asp:RegularExpressionValidator 例如:

您还可以使用asp:RegularExpressionValidator 例如:

您将需要为该页禁用脚本验证。出现此错误的原因是ASP.NET默认情况下会验证传入的帖子

您将需要为该页禁用脚本验证。出现此错误的原因是ASP.NET默认情况下会验证传入的帖子

... 请提供更多信息。标签是什么,你尝试过什么验证?好的。。桌子的标签。。喜欢请提供更多信息。标签是什么,你尝试过什么验证?好的。。桌子的标签。。就像我做的那样。。看看这条线。。txt_countryname.Text=HttpUtility.HtmlEncodetxt_countryname.Text;但它不起作用…是我做的。。看看这条线。。txt_countryname.Text=HttpUtility.HtmlEncodetxt_countryname.Text;但它不起作用…是我做的。。看看这条线。。txt_countryname.Text=HttpUtility.HtmlEncodetxt_countryname.Text;但它不起作用…是我做的。。看看这条线。。txt_countryname.Text=HttpUtility.HtmlEncodetxt_countryname.Text;但它不起作用……告诉我。。如果我不伪造这个财产,请告诉我。。那么每次都会出现错误。。好啊那么…还好吧!!!!或者我应该把这个属性弄错。。你能告诉我…最重要的是,如果请求验证被关闭,最好确保你自己进行验证以限制安全风险。我将投票反对这种方法,因为它会在所有页面上禁用验证,与我的建议相反,您只想禁用单个页面的验证。@CodeMonkey-添加了您的重复。通过仅禁用单个页面来减少攻击面。请求验证毫无价值。如果你易受攻击,它不会保护你免受所有可能的攻击,它会阻止人们在你不易受攻击时使用完全有效的字符串,这些字符串看起来像标签。关掉它,扔掉它,烧掉它,找程序员负责,并起诉他们的犯罪坏主意。。如果我不伪造这个财产,请告诉我。。那么每次都会出现错误。。好啊那么…还好吧!!!!或者我应该把这个属性弄错。。你能告诉我…最重要的是,如果请求验证被关闭,最好确保你自己进行验证以限制安全风险。我将投票反对这种方法,因为它会在所有页面上禁用验证,与我的建议相反,您只想禁用单个页面的验证。@CodeMonkey-添加了您的重复。通过仅禁用单个页面来减少攻击面。请求验证毫无价值。如果你易受攻击,它不会保护你免受所有可能的攻击,它会阻止人们在你不易受攻击时使用完全有效的字符串,这些字符串看起来像标签。关掉它,扔掉它,烧掉它,找程序员负责并起诉他们犯了刑事罪。这个术语叫做脚本注入。。我不知道。知道但是我们不能用……来解决问题。。验证器。。谢谢但是你应该阅读oded的链接文章。好的..谢谢..这个术语叫做脚本注入。。我不知道。知道但是我们不能用……来解决问题。。验证器。。谢谢但是你应该阅读oded的链接文章。好的,谢谢。。