Este artículo es un artículo espejo de traducción automática, por favor haga clic aquí para saltar al artículo original.

Architect_Programmer_Code Red Agrícola»Arquitecto Programación .Net/C # ASP.NET MVC solicita la validación de contenido peligroso XSS (ValidateInput) ...
Vista: 3317|Respuesta: 2

[Fuente] ASP.NET MVC solicita la validación de contenido peligroso XSS (ValidateInput)

[Copiar enlace]
Publicado en 8/7/2023 22:05:07 | | | |
Requisitos: Extraer el código fuente en ASP.NET MVC para validar datos potencialmente peligrosos en el formulario de solicitud. En pocas palabras, verifica que los datos solicitados contienen contenido de scripting entre sitios (XSS),XSS está bloqueado por defecto en MVC

El scripting entre sitios (XSS) es una vulnerabilidad de seguridad que puede encontrarse en algunas aplicaciones web. Los ataques XSS permiten a los atacantes inyectar scripts del lado del cliente en páginas web vistas por otros usuarios. Los atacantes podrían explotar vulnerabilidades de scripting entre sitios para eludir los controles de acceso como las políticas de origen similar.

ValidateInput: Lanza la validación de colecciones accedidas a través de las propiedades Cookies, Form y QueryString. deberHttpRequestLa clase utiliza la bandera de validación de entrada para rastrear si se realiza validación en una colección de solicitudes que acceden a la QueryString a través del formulario de la propiedad Cookies.

public void ValidateInput() {
            No tiene sentido llamar a esto varias veces por solicitud.
            Además, si la validación estaba suprimida, no operaría ahora.
            si (ValidateInputWasCalled || RequestValidationSuppressed) {
                devolución;
            }

            _Banderas. Set(hasValidateInputBeenCalled);

            Esto es para prevenir algunos ataques XSS (cross site scripting) (ASURT 122278)
            _Banderas. Set(needToValidateQueryString);
            _Banderas. Set(necesitoValidarFormulario);
            _Banderas. Set(needToValidateCookies);
            _Banderas. Set(needToValidatePostedFiles);
            _Banderas. Set(needToValidateRawUrl);
            _Banderas. Set(needToValidatePath);
            _Banderas. Set(needToValidatePathInfo);
            _Banderas. Set(needToValidateHeaders);
        }

Documentación:El inicio de sesión del hipervínculo es visible.

Validar datos potencialmente peligrosos:HttpRequest -> ValidateString -> CrossSiteScriptingValidation.IsDangerousString, como se muestra en la figura siguiente:



Dirección del código fuente:

El inicio de sesión del hipervínculo es visible.
El inicio de sesión del hipervínculo es visible.

Copia el código fuente en tu proyecto y pruébalo de la siguiente manera:



Fuente:


Si realmente quieres recibir contenido peligroso, puedes usar Request.Unvalidated.Form

(Fin)




Anterior:ASP.NET MVC obtiene todas las direcciones de la interfaz mediante reflexión
Próximo:.NET/C# utiliza SqlConnectionStringBuilder para comparar conexiones a bases de datos

Publicaciones relacionadas
 Propietario| Publicado en 8/7/2023 22:06:32 |
Clase AllowHtmlAttribute: Permite que las solicitudes incluyan marcado HTML durante la vinculación del modelo saltándose la validación de solicitudes para los atributos. (Se recomienda encarecidamente que las aplicaciones comprueben explícitamente todos los modelos que desactivan la validación de solicitudes para evitar ataques de scripting.) )

https://learn.microsoft.com/zh-c ... .allowhtmlattribute
 Propietario| Publicado en 8/7/2023 22:06:49 |
Las etiquetas antifalsificación de ValidateAntiForgeryToken y AutoValidateAntiforgeryToken se explican en detalle
https://www.itsvse.com/thread-9568-1-1.html
Renuncia:
Todo el software, materiales de programación o artículos publicados por Code Farmer Network son únicamente para fines de aprendizaje e investigación; El contenido anterior no se utilizará con fines comerciales o ilegales; de lo contrario, los usuarios asumirán todas las consecuencias. La información de este sitio proviene de Internet, y las disputas de derechos de autor no tienen nada que ver con este sitio. Debes eliminar completamente el contenido anterior de tu ordenador en un plazo de 24 horas desde la descarga. Si te gusta el programa, por favor apoya el software genuino, compra el registro y obtén mejores servicios genuinos. Si hay alguna infracción, por favor contáctanos por correo electrónico.
Mail To:help@itsvse.com