Fatal编程技术网
  • asp.net-mvc/
  • Asp.net mvc 无法禁用“…”;。。。潜在危险的请求。路径…“;在MVC3中

Asp.net mvc 无法禁用“…”;。。。潜在危险的请求。路径…“;在MVC3中

asp.net-mvc security

Asp.net mvc 无法禁用“…”;。。。潜在危险的请求。路径…“;在MVC3中,asp.net-mvc,security,Asp.net Mvc,Security,我知道有很多关于这个主题的帖子,但是无论我如何努力(使用这些帖子中的细节),我都无法从MVC 3中完全删除请求验证 通过一个丑陋但简单的测试,我遵循了以下步骤:- 打开VS并创建一个新的示例MVC3 Internet应用程序 在控制器操作的每个操作上方,我都放置了[ValidateInput(false)]属性 编辑根web.config,使位于部分 虽然现在这意味着我可以在字段中提交类似的表单,但我仍然无法确定如何允许请求http://localhost/MySampleApp/Account

我知道有很多关于这个主题的帖子,但是无论我如何努力(使用这些帖子中的细节),我都无法从MVC 3中完全删除请求验证

通过一个丑陋但简单的测试,我遵循了以下步骤:-

  • 打开VS并创建一个新的示例MVC3 Internet应用程序
  • 在控制器操作的每个操作上方,我都放置了[ValidateInput(false)]属性
  • 编辑根web.config,使
    位于
    部分
    • 虽然现在这意味着我可以在字段中提交类似
    的表单,但我仍然无法确定如何允许请求http://localhost/MySampleApp/Account/LogOn

    如果我调用这样的URL,我仍然会收到一个潜在的危险请求。“从客户端检测到路径值(您可能会发现该值很有用。我个人的建议是避免在URL路径中使用此类字符(除非严格要求),并使用查询字符串参数将此类数据传输到服务器:

    http://localhost/MySampleApp/Account/LogOn?script=%3Cscript%3E
    感谢这一点-澄清一下-我们需要完全禁用它,以便我们可以对应用程序运行完整的Skipfish测试…由于MVC的内置功能,目前它无法测试很多“坏url”尝试…我觉得单靠.Net实现url安全性有点不舒服。