1. घर
  2. सवाल और जवाब
  3. अनुरोध ValidationMode = "2.0" वास्तव में क्या करता है?

अनुरोध ValidationMode = "2.0" वास्तव में क्या करता है?

2011-06-01 8 views
18


मैं एक हल करने के लिए कोशिश कर रहा हूँ समस्या "एक संभावित खतरनाक Request.Form मूल्य ग्राहक से पता चला था", और इसी जवाब और Scott Hanselman Web.config मेंअनुरोध ValidationMode = "2.0" वास्तव में क्या करता है?

<httpRuntime requestValidationMode="2.0" />

निर्धारित करने की अनुशंसा (एक जोड़ने के साथ-साथ समस्याग्रस्त तरीकों के लिए विशेषता)।
मैं इस ASP.NET 2.0 के लिए मान्यता मोड में परिवर्तन का एहसास है, लेकिन यह क्या मतलब है?
और यह भी, यह परिवर्तन कोई साइड इफेक्ट मैं के बारे में पता होना चाहिए है करता है?

धन्यवाद।

स्रोत

2011-06-01 Oren A

उत्तर

15

MSDN's HttpRuntimeSection.RequestValidationMode Property पर विवरण देखें।

2,0। अनुरोध सत्यापन केवल पृष्ठों के लिए सक्षम है, सभी HTTP अनुरोधों के लिए नहीं। इसके अलावा, कॉन्फ़िगरेशन फ़ाइल में पृष्ठ तत्व (यदि कोई है) के अनुरोध सत्यापन सेटिंग्स या किसी व्यक्तिगत पृष्ठ में @ पृष्ठ निर्देश का उपयोग यह निर्धारित करने के लिए किया जाता है कि मान्य करने के लिए कौन से पृष्ठ अनुरोध हैं।

स्रोत

2011-12-07 06:23:06

0

ASP.NET Request Validation>

ASP.NET में अनुरोध सत्यापन सुविधा क्रॉस-साइट स्क्रिप्टिंग (XSS) हमलों के खिलाफ डिफ़ॉल्ट सुरक्षा का एक निश्चित स्तर प्रदान करता है पर एक नजर डालें। ASP.NET के पिछले संस्करणों में अनुरोध सत्यापन डिफ़ॉल्ट रूप से सक्षम किया गया था। हालांकि, यह केवल ASP.NET पृष्ठों (.aspx फ़ाइलों और अपने वर्ग फ़ाइलें) के लिए आवेदन किया है और केवल उन पृष्ठों को क्रियान्वित कर रहे थे।

डिफ़ॉल्ट रूप से एएसपी.नेट 4 में, सभी अनुरोधों के लिए अनुरोध सत्यापन सक्षम है, क्योंकि यह HTTP अनुरोध के BeginRequest चरण से पहले सक्षम है। नतीजतन, अनुरोध सत्यापन सभी एएसपी.NET संसाधनों के अनुरोध पर लागू होता है, न केवल .aspx पृष्ठ अनुरोधों पर। इसमें वेब सेवा कॉल और कस्टम HTTP हैंडलर जैसे अनुरोध शामिल हैं। अनुरोध सत्यापन जब कस्टम HTTP मॉड्यूल किसी HTTP अनुरोध के सामग्री पढ़ रहे हैं भी सक्रिय है।

नतीजतन, का अनुरोध सत्यापन त्रुटियों अब अनुरोध है कि पहले त्रुटियों को ट्रिगर नहीं किया के लिए हो सकता है। ASP.NET 2.0 अनुरोध सत्यापन की सुविधा के व्यवहार के लिए वापस लौटने के लिए जोड़ने के Web.config फ़ाइल में स्थापित करने के बाद:

<httpRuntime requestValidationMode="2.0" />

हालांकि, हम सुझाव है कि आप किसी भी अनुरोध सत्यापन त्रुटियों का विश्लेषण यह निर्धारित करने के लिए कि मौजूदा हैंडलर, मॉड्यूल, या अन्य कस्टम कोड संभावित रूप से असुरक्षित HTTP इनपुट एक्सेस करता है जो XSS हमले वैक्टर हो सकता है।

स्रोत

2011-06-01 19:35:22

संबंधित मुद्दे

 संबंधित मुद्दे