Fatal编程技术网
  • asp.net/
  • Asp.net 潜在危险的请求。路径

Asp.net 潜在危险的请求。路径

asp.net

Asp.net 潜在危险的请求。路径,asp.net,Asp.net,最近有很多这样的错误。我做了一些研究,发现这是因为在输入文本中检测到html。这是否意味着有人试图入侵我的网站 我可以通过关闭页面验证来阻止这种情况的发生,但这似乎不是一个好的解决方案 以下是其中一个错误的一些信息: HTTP_CONNECTION:keep-alive HTTP_ACCEPT:*/* HTTP_ACCEPT_ENCODING:gzip, deflate HTTP_ACCEPT_LANGUAGE:en-us HTTP_HOST:www.easymuaythai.com HTTP_

最近有很多这样的错误。我做了一些研究,发现这是因为在输入文本中检测到html。这是否意味着有人试图入侵我的网站

我可以通过关闭页面验证来阻止这种情况的发生,但这似乎不是一个好的解决方案

以下是其中一个错误的一些信息:

HTTP_CONNECTION:keep-alive HTTP_ACCEPT:*/* HTTP_ACCEPT_ENCODING:gzip, deflate HTTP_ACCEPT_LANGUAGE:en-us HTTP_HOST:www.easymuaythai.com HTTP_REFERER:http://www.google.com/search?q=symbolic+tattoos&hl=en&client=safari&tbo=d&source=lnms&tbm=isch&ei=u5c1T8L-JfLYiAKRs5ixCg&sa=X&oi=mode_link&ct=mode&cd=2&ved=0CAkQ_AUoAQ&biw=1024&bih=622 HTTP_USER_AGENT:Mozilla/5.0 (iPad; CPU OS 5_0_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9A405 Safari/7534.48.3
我不知道这是否重要,但我的IIS中有一个防止图像热链接的规则

谢谢。

首先,你在这里给出的字符串看起来像是在谷歌图像上搜索两个单词(符号纹身),最后进入你的网站。也许这是错误的,但是这些词与你的网站有关

99.9%此呼叫不是攻击

现在,asp.net在默认情况下负责可能用于脚本注入或在页面上呈现任何内容的每个输入。但在你熟悉了这一点,并且你知道你必须做什么之后,你可以让它失效

怎么办:您可以阅读任何内容,但可以使用HtmlEncode在页面上写入,如果将它们放在URL上,则使用UrlEncode,如果将此输入放在属性上,则使用属性编码。如果您在SQL上导入它们,那么还要注意使用参数进行SQL查询

热链接 图片热链接只是检查引用是否来自您的站点,我认为这与此错误无关。然而,因为这是一个图像搜索,可能是一个点击这个谷歌图像,谷歌创建了一个脚本来显示上面的图像,这是如何抛出一个错误。。。嗯,也许我必须做

更新 我发现这里是你的用户从上面的参考中看到的。从谷歌浏览器是不会犯任何错误

此链接可在上面的参考链接中找到

HTTP_USER_AGENT:Mozilla/5.0(iPad;CPU OS 5_0_1,如Mac OS X)AppleWebKit/534.46(KHTML,如Gecko)Version/5.1 Mobile/9A405 Safari/7534.48.3几天前,在处理ASP.NET 4.0 Web项目时,我遇到了一个问题。问题是,当用户在注释文本框中输入未编码的HTML内容时,他/她收到类似以下错误消息: “潜在危险的请求。从客户端检测到表单值”

这是因为.NET在输入的文本中检测到类似HTML语句的内容。然后我得到了一个链接请求验证,这是一个用于保护应用程序跨站点脚本攻击的功能,并相应地进行了验证

为了禁用请求验证,我在该.aspx文件中现有的“page”指令中添加了以下内容

ValidateRequest="false"
但我还是犯了同样的错误

后来我发现,对于.NET 4,我们需要将requestValidationMode=“2.0”添加到web.config文件的httpRuntime配置部分,如下所示:

<httpRuntime requestValidationMode="2.0"/>
但是,如果web.config文件中没有httpRuntime部分,那么它将进入
部分

如果有人想关闭全局用户的请求验证,请在节的web.config文件中单击以下行:

<pages validateRequest="false" />
我想我明白你的意思了。我在Firefox和IE上尝试了这个链接,也没有产生任何错误。所以你建议我禁用请求验证?这安全吗?@TheGateKeeper我建议如果输入没有在页面上呈现,或者当您使用htmlEncode呈现时,禁用它。不,没有输入,但必须有一个比完全禁用该网站更好的解决方案。“这看起来太不安全了!”看门人说,“如果我们为了同样的想法说话,我就把它禁用了。”。关注什么是不安全的,它们对你的网站有什么潜在的危害?你得到数据了吗?您是否使用url显示数据?你保存数据了吗?这个错误是怎么造成的?女士认为这是一个潜在的问题,不要让任何事情继续作为预防措施。但是如果你不使用这些,问题出在哪里呢?我的网站有些部分使用了查询字符串,比如搜索等等。如果我禁用它,它可以用来伤害那里。有没有可能只对来自google.images的请求禁用它?这是一个很好的链接,因为你是它的所有者?孤立链接是因为它本身是无意义的,并且目标资源不保证在将来仍然存在。请尝试至少包含您链接到的信息摘要。