Ein möglicherweise gefährlicher Request.Form Wert erkannt wurde

Ich bin mit einem php-Skript für http post xml-Dateien ein .net-URL.

Wenn ich eingebe, bekomme ich die Antwort:

Potenziell gefährlich Anfrage.Form
Wert wurde vom client erkannt
(<?xml version="...UTF-8"?> <!DOCTYPE
cXML-SYSTE..."). Beschreibung: Anfrage
Überprüfung hat festgestellt, dass die potenziell
gefährlich client Eingabe-Wert, und
die Verarbeitung der Anfrage wurde
abgebrochen. Dieser Wert deutet möglicherweise auf eine
Versuch zu kompromittieren
Ihre Anwendung, wie eine cross-site
scripting-Angriff. Sie können deaktivieren
anforderungsvalidierung durch Einstellung
validateRequest=false in die Seite
Richtlinie oder in der Konfiguration
Abschnitt. Es wird jedoch dringend
empfohlene Anwendung
explizit überprüfen Sie alle Eingaben in diesem
Fall.

Als ich nicht mit .NETTO kann ich nicht ValidateRequest="false" im web.config.

Muss ich desinfizieren meine xml-vor submitiing? Wie kann ich dies tun?

  • In Ihrem Beitrag verwenden, sollten Sie das php-tag statt asp.net
  • Nicht wirklich - ich bin mit asp.net
InformationsquelleAutor thegunner | 2010-08-16
  1. 3

    Es ist faszinierend, dass Sie kann sehen, die voller Fehler, aber sind nicht in der Lage auf die ASP.NET code. Normalerweise kann man nur sehen, das die vollständige Fehlermeldung, wenn im debug-Modus, weil in der Produktion die Fehler-Einstellung ist (sein sollte) RemoteOnly oder Off. Dies scheint ein Konfigurationsfehler und ein potenzielles Risiko auf der Seite des ASP.NET Website.

    Sagen Sie "http post xml-Dateien". Wenn Sie waren in der Tat posting Dateien, Sie würde nicht diese Antwort erhalten. Vielleicht können Sie sich an die Website-Besitzer und bitten Sie ihn, die form zu ändern, um zu ermöglichen, Datei-Eingang.

    Können Sie ändern Sie Ihre Eingabe, so dass es nicht aussieht wie XML mehr, aber dann ist es kein XML mehr. I. e., ändern Sie alle < im &lt; und Sie werden in der Lage sein, um Ihre Daten durch, aber es muss sein, ohne Umschreibung, wenn verarbeitet.

    Wenn diese Website soll akzeptieren, XML -, muss es geändert werden, um zu akzeptieren, XML. Entweder sollte es akzeptieren Dateien, oder sollte es akzeptieren, HTML/XML-Eingabe durch drehen ValidateRequest auf off. Wenn es nicht bekommen sollen XML, es gibt wenig Sie tun können. Es ist wie das ausfüllen einer bank Zahlung bilden, indem Sie Buchstaben in das Betrag-Feld: es will einfach nicht funktionieren (es sei denn, es wurde entworfen, um zu arbeiten, Weg).

    InformationsquelleAutor Abel
  2. 3

    Auf MVC, unten auf post

    [HttpPost, ValidateInput(false)]
public ActionResult PostMethod(Model viewModel)
    InformationsquelleAutor ELTEE
  3. 2

    Müssen Sie ValidateRequest="false" in die Seite, die den Empfang von XML-Daten nicht in die Seite, die senden es. Wenn Sie nicht über Zugriff auf die Seite, dass Sie die übergabe der XML, dann müssen Sie einen anderen Weg finden, um übergeben Sie die Daten, oder verwandeln es in ein anderes format zuerst als so ziemlich alles, was sieht wie HTML, bewirken, dass ein asp.net Seite auslösen dieser Warnung.

    • Nur eine Anmerkung: Fragesteller sagte: "kann ich nicht ValidateRequest="false" im web.config."
    • ja, ich sah, und also davon ausgegangen, dass der OP könnte weniger sein, als vertraut mit asp.net als Sie sind "mit php - Skript für http post xml-Dateien ein .net-URL" und können Ihre Drähte gekreuzt, angesichts der "Als ich nicht verwenden .NETTO kann ich nicht..." schien damit andeuten zu wollen, um mir wenigstens, dass die OP vielleicht denken, Sie brauchen, um den Wert auf die "client" - Seite die Anfrage, zumal es in der Regel festgelegt, wie eine pro-Seite-Richtlinie, eher als für eine ganze Website.
    • Hi, ja, ich bin Entsendung zu einer externen URL, die ich nicht haben Zugang zu.
    • haben Sie irgendwelche Anweisungen wie wie zu posten ist es dann? Wenn Sie es ablehnt, XML, weil der Validierung Anforderung dann entweder, Sie senden die falsche Sache, oder der Besitzer der Seite ändern sollte es zu ValidateRequest="false" =)
    InformationsquelleAutor Rob
  4. 1

    XML-oder etwas, das "aussieht wie", ist als gefährlich anzusehen sind standardmäßig auf eine angemessene Art und Weise zu blockieren, XSS-Angriffe auf, etwas erwarten-plaintext-content.

    Ist das problem mit der Ressource, die Sie Einreichen, nicht mit Ihrem code einen bug-oder tech-support-Anfrage mit Ihnen.

    • Hi, ja ich kann den Empfang der Dateien auf meine externe URL und ich kenne andere Orte, die die Datei erhalten. Ich habe Sie per E-Mail und warte auf Antwort.
    InformationsquelleAutor Jon Hanna
  5. 1

    Wenn Sie ASP.NET 4.0, außer für die Einstellung im Seite 

    <%@ Page ValidateRequest="false" />

    fügen Sie in web.config 

    <httpRuntime requestValidationMode="2.0" />

    Dies sollte helfen,

    InformationsquelleAutor Arek Bee
Schreibe einen Kommentar