Nilai Request.Form yang berpotensi berbahaya terdeteksi dari klien

Setiap kali pengguna memposting sesuatu yang berisi <atau >dalam halaman di aplikasi web saya, saya mendapatkan pengecualian ini.

Saya tidak ingin membahas tentang kepintaran melempar pengecualian atau menabrak seluruh aplikasi web karena seseorang memasukkan karakter ke dalam kotak teks, tetapi saya mencari cara yang elegan untuk menangani hal ini.

Menjebak pengecualian dan tampil

Terjadi kesalahan, silakan kembali dan ketik ulang seluruh formulir Anda lagi, tapi kali ini jangan gunakan <

bagi saya sepertinya tidak cukup profesional.

Menonaktifkan validasi pos ( validateRequest="false") pasti akan menghindari kesalahan ini, tetapi itu akan membuat halaman rentan terhadap sejumlah serangan.

Idealnya: Ketika suatu posting kembali terjadi yang mengandung karakter-karakter terbatas HTML, nilai yang diposkan dalam koleksi Formulir akan secara otomatis disandikan dengan HTML. Jadi .Textproperti kotak teks saya akan menjadisomething & lt; html & gt;

Apakah ada cara saya bisa melakukan ini dari seorang pawang?

Saya pikir Anda menyerang dari sudut yang salah dengan mencoba menyandikan semua data yang diposting.

Perhatikan bahwa " <" juga dapat berasal dari sumber luar lainnya, seperti bidang basis data, konfigurasi, file, umpan, dan sebagainya.

Lebih jauh, " <" secara inheren tidak berbahaya. Ini hanya berbahaya dalam konteks tertentu: ketika menulis string yang belum dikodekan ke output HTML (karena XSS).

Dalam konteks lain, berbagai sub-string berbahaya, misalnya, jika Anda menulis URL yang disediakan pengguna ke dalam tautan, " javascript:" sub-string mungkin berbahaya. Karakter kutip tunggal di sisi lain berbahaya ketika interpolasi string dalam query SQL, tetapi sangat aman jika itu adalah bagian dari nama yang dikirimkan dari formulir atau dibaca dari bidang database.

Intinya adalah: Anda tidak dapat memfilter input acak untuk karakter berbahaya, karena karakter apa pun mungkin berbahaya dalam keadaan yang tepat. Anda harus menyandikan pada titik di mana beberapa karakter tertentu dapat menjadi berbahaya karena mereka masuk ke sub-bahasa yang berbeda di mana mereka memiliki makna khusus. Saat Anda menulis string ke HTML, Anda harus menyandikan karakter yang memiliki arti khusus dalam HTML, menggunakan Server.HtmlEncode. Jika Anda meneruskan string ke pernyataan SQL dinamis, Anda harus menyandikan karakter yang berbeda (atau lebih baik, biarkan kerangka melakukannya untuk Anda dengan menggunakan pernyataan yang disiapkan atau sejenisnya) ..

Ketika Anda yakin Anda meng-encode HTML di mana-mana Anda mengirimkan string ke HTML, lalu atur validateRequest="false"di <%@ Page ... %>direktif dalam .aspxfile Anda .

Di .NET 4 Anda mungkin perlu melakukan sedikit lagi. Terkadang perlu juga menambahkan <httpRuntime requestValidationMode="2.0" />ke web.config ( referensi ).

Ada solusi berbeda untuk kesalahan ini jika Anda menggunakan ASP.NET MVC:

• ASP.NET MVC - halaman validateRequest = false tidak berfungsi?
• Mengapa ValidateInput (Salah) tidak berfungsi?
• ASP.NET MVC RC1, VALIDATEINPUT, PERMINTAAN BERBAHAYA POTENSI DAN PITFALL

C # sampel:

[HttpPost, ValidateInput(false)]
public ActionResult Edit(FormCollection collection)
{
    // ...
}

Sampel Visual Basic:

<AcceptVerbs(HttpVerbs.Post), ValidateInput(False)> _
Function Edit(ByVal collection As FormCollection) As ActionResult
    ...
End Function

Di ASP.NET MVC (mulai dari versi 3), Anda bisa menambahkan AllowHtmlatribut ke properti di model Anda.

Ini memungkinkan permintaan untuk memasukkan markup HTML selama pengikatan model dengan melewatkan validasi permintaan untuk properti.

[AllowHtml]
public string Description { get; set; }

Jika Anda menggunakan .NET 4.0 pastikan Anda menambahkan ini di file web.config Anda di dalam <system.web>tag:

<httpRuntime requestValidationMode="2.0" />

Di .NET 2.0, validasi permintaan hanya diterapkan pada aspxpermintaan. Di .NET 4.0 ini diperluas untuk mencakup semua permintaan. Anda dapat kembali ke hanya melakukan validasi XSS saat memproses .aspxdengan menentukan:

requestValidationMode="2.0"

Anda dapat menonaktifkan permintaan untuk memvalidasi sepenuhnya dengan menetapkan:

validateRequest="false"

Untuk ASP.NET 4.0, Anda dapat mengizinkan markup sebagai input untuk halaman tertentu dan bukan keseluruhan situs dengan meletakkan semuanya dalam <location>elemen. Ini akan memastikan semua halaman Anda lainnya aman. Anda TIDAK perlu memasukkan ValidateRequest="false"halaman .aspx Anda.

<configuration>
...
  <location path="MyFolder/.aspx">
    <system.web>
      <pages validateRequest="false" />
      <httpRuntime requestValidationMode="2.0" />
    </system.web>
  </location>
...
</configuration>

Lebih aman untuk mengontrol ini di dalam web.config Anda, karena Anda dapat melihat di tingkat situs mana halaman memungkinkan markup sebagai input.

Anda masih perlu memvalidasi input pada halaman di mana validasi permintaan dinonaktifkan.

Jawaban sebelumnya sangat bagus, tetapi tidak ada yang mengatakan bagaimana cara mengecualikan satu bidang dari validasi untuk injeksi HTML / JavaScript. Saya tidak tahu tentang versi sebelumnya, tetapi dalam MVC3 Beta Anda dapat melakukan ini:

[HttpPost, ValidateInput(true, Exclude = "YourFieldName")]
public virtual ActionResult Edit(int id, FormCollection collection)
{
    ...
}

Ini masih memvalidasi semua bidang kecuali untuk yang dikecualikan. Yang menyenangkan tentang ini adalah bahwa atribut validasi Anda masih memvalidasi bidang, tetapi Anda tidak mendapatkan "Permintaan yang berpotensi berbahaya. Nilai form terdeteksi dari klien" pengecualian.

Saya telah menggunakan ini untuk memvalidasi ekspresi reguler. Saya telah membuat ValidationAttribute saya sendiri untuk melihat apakah ekspresi reguler itu valid atau tidak. Karena ekspresi reguler dapat berisi sesuatu yang terlihat seperti skrip, saya menerapkan kode di atas - ekspresi reguler masih diperiksa apakah valid atau tidak, tetapi tidak jika itu berisi skrip atau HTML.

Di ASP.NET MVC Anda perlu mengatur requestValidationMode = "2.0" dan validateRequest = "false" di web.config, dan menerapkan atribut ValidateInput ke tindakan controller Anda:

<httpRuntime requestValidationMode="2.0"/>

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

dan

[Post, ValidateInput(false)]
public ActionResult Edit(string message) {
    ...
}

Anda dapat menyandikan konten kotak teks HTML , tetapi sayangnya itu tidak akan menghentikan pengecualian terjadi. Dalam pengalaman saya tidak ada jalan keluar, dan Anda harus menonaktifkan validasi halaman. Dengan melakukan itu Anda berkata: "Aku akan berhati-hati, aku janji."

Untuk MVC, abaikan validasi input dengan menambahkan

[ValidateInput (false)]

di atas setiap Aksi di Controller.

Anda dapat menangkap kesalahan itu di Global.asax. Saya masih ingin memvalidasi, tetapi menunjukkan pesan yang sesuai. Di blog yang tercantum di bawah ini, sampel seperti ini tersedia.

    void Application_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();

        if (ex is HttpRequestValidationException)
        {
            Response.Clear();
            Response.StatusCode = 200;
            Response.Write(@"[html]");
            Response.End();
        }
    }

Mengarahkan kembali ke halaman lain juga sepertinya merupakan respons yang masuk akal terhadap pengecualian.

http://www.romsteady.net/blog/2007/06/how-to-catch-httprequestvalidationexcep.html

Jawaban atas pertanyaan ini sederhana:

var varname = Request.Unvalidated["parameter_name"];

Ini akan menonaktifkan validasi untuk permintaan tertentu.

Harap diingat bahwa beberapa kontrol .NET akan secara otomatis menyandikan output HTML. Misalnya, mengatur properti .Text pada kontrol TextBox akan secara otomatis menyandikannya. Itu secara khusus berarti mengubah <menjadi <, >menjadi >dan &ke dalam &. Jadi berhati-hatilah dalam melakukan ini ...

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

Namun, properti .Text untuk HyperLink, Literal, dan Label tidak akan menyandikan hal-hal HTML, jadi bungkus Server.HtmlEncode (); sekitar apa pun yang ditetapkan pada properti ini adalah suatu keharusan jika Anda ingin mencegah <script> window.location = "http://www.google.com"; </script>menjadi output ke halaman Anda dan kemudian dieksekusi.

Lakukan sedikit percobaan untuk melihat apa yang dikodekan dan apa yang tidak.

Dalam file web.config, di dalam tag, masukkan elemen httpRuntime dengan atribut requestValidationMode = "2.0". Juga tambahkan atribut validateRequest = "false" di elemen halaman.

Contoh:

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>

Jika Anda tidak ingin menonaktifkan ValidateRequest, Anda perlu menerapkan fungsi JavaScript untuk menghindari pengecualian. Ini bukan pilihan terbaik, tetapi berhasil.

function AlphanumericValidation(evt)
{
    var charCode = (evt.charCode) ? evt.charCode : ((evt.keyCode) ? evt.keyCode :
        ((evt.which) ? evt.which : 0));

    // User type Enter key
    if (charCode == 13)
    {
        // Do something, set controls focus or do anything
        return false;
    }

    // User can not type non alphanumeric characters
    if ( (charCode <  48)                     ||
         (charCode > 122)                     ||
         ((charCode > 57) && (charCode < 65)) ||
         ((charCode > 90) && (charCode < 97))
       )
    {
        // Show a message or do something
        return false;
    }
}

Kemudian dalam kode di belakang, pada acara PageLoad, tambahkan atribut ke kontrol Anda dengan kode berikutnya:

Me.TextBox1.Attributes.Add("OnKeyPress", "return AlphanumericValidation(event);")

Sepertinya belum ada yang menyebutkan di bawah ini, tetapi ini memperbaiki masalah untuk saya. Dan sebelum ada yang bilang ya itu Visual Basic ... huek.

<%@ Page Language="vb" AutoEventWireup="false" CodeBehind="Example.aspx.vb" Inherits="Example.Example" **ValidateRequest="false"** %>

Saya tidak tahu apakah ada kerugian, tetapi bagi saya ini bekerja luar biasa.

Solusi lain adalah:

protected void Application_Start()
{
    ...
    RequestValidator.Current = new MyRequestValidator();
}

public class MyRequestValidator: RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        bool result = base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

        if (!result)
        {
            // Write your validation here
            if (requestValidationSource == RequestValidationSource.Form ||
                requestValidationSource == RequestValidationSource.QueryString)

                return true; // Suppress error message
        }
        return result;
    }
}

Jika Anda menggunakan framework 4.0 maka entri di web.config (<halaman validateRequest = "false" />)

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

Jika Anda menggunakan framework 4.5 maka entri di web.config (requestValidationMode = "2.0")

<system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" requestValidationMode="2.0"/>
</system.web>

Jika Anda hanya menginginkan satu halaman saja, Dalam file aspx Anda, Anda harus meletakkan baris pertama seperti ini:

<%@ Page EnableEventValidation="false" %>

jika Anda sudah memiliki sesuatu seperti <% @ Halaman jadi tambahkan saja sisanya => EnableEventValidation="false"%>

Saya sarankan untuk tidak melakukannya.

Di ASP.NET, Anda dapat menangkap pengecualian dan melakukan sesuatu tentangnya, seperti menampilkan pesan ramah atau mengalihkan ke halaman lain ... Juga ada kemungkinan Anda dapat menangani validasinya sendiri ...

Tampilkan pesan ramah:

protected override void OnError(EventArgs e)
{
    base.OnError(e);
    var ex = Server.GetLastError().GetBaseException();
    if (ex is System.Web.HttpRequestValidationException)
    {
        Response.Clear();
        Response.Write("Invalid characters."); //  Response.Write(HttpUtility.HtmlEncode(ex.Message));
        Response.StatusCode = 200;
        Response.End();
    }
}

Saya kira Anda bisa melakukannya dalam modul; tetapi itu membuka beberapa pertanyaan; bagaimana jika Anda ingin menyimpan input ke database? Tiba-tiba karena Anda menyimpan data yang disandikan ke database Anda akhirnya percaya input dari itu yang mungkin merupakan ide yang buruk. Idealnya Anda menyimpan data mentah tanpa kode di dalam basis data dan penyandian setiap waktu.

Menonaktifkan proteksi pada level per halaman dan kemudian menyandikan setiap waktu adalah pilihan yang lebih baik.

Daripada menggunakan Server.HtmlEncode Anda harus melihat perpustakaan Anti-XSS yang lebih baru dan lebih lengkap dari tim Microsoft ACE.

Sebab

ASP.NET secara default memvalidasi semua kontrol input untuk konten yang berpotensi tidak aman yang dapat menyebabkan skrip lintas situs (XSS) dan injeksi SQL . Dengan demikian ia melarang konten tersebut dengan melemparkan pengecualian di atas. Secara default, direkomendasikan untuk memungkinkan pemeriksaan ini terjadi pada setiap postback.

Larutan

Pada banyak kesempatan Anda perlu mengirimkan konten HTML ke halaman Anda melalui Rich TextBoxes atau Rich Text Editor. Dalam hal ini, Anda dapat menghindari pengecualian ini dengan mengatur tag ValidateRequest dalam @Pagearahan ke false.

<%@ Page Language="C#" AutoEventWireup="true" ValidateRequest = "false" %>

Ini akan menonaktifkan validasi permintaan untuk halaman yang telah Anda atur tanda ValidateRequest menjadi false. Jika Anda ingin menonaktifkan ini, periksa seluruh aplikasi web Anda; Anda harus mengaturnya ke false di bagian web.config <system.web> Anda

<pages validateRequest ="false" />

Untuk .NET 4.0 atau kerangka kerja yang lebih tinggi Anda harus menambahkan baris berikut di bagian <system.web> untuk membuat pekerjaan di atas.

<httpRuntime requestValidationMode = "2.0" />

Itu dia. Saya harap ini membantu Anda dalam menyingkirkan masalah di atas.

Referensi oleh: Kesalahan ASP.Net: Nilai Request.Form yang berpotensi berbahaya terdeteksi dari klien

Saya menemukan solusi yang menggunakan JavaScript untuk menyandikan data, yang diterjemahkan dalam .NET (dan tidak memerlukan jQuery).

• Jadikan textbox sebagai elemen HTML (seperti textarea) dan bukan ASP.
• Tambahkan bidang yang tersembunyi.

• Tambahkan fungsi JavaScript berikut ke tajuk Anda.

  function boo () {targetText = document.getElementById ("HiddenField1"); sourceText = document.getElementById ("userbox"); targetText.value = escape (sourceText.innerText); }

Di dalam textarea Anda, sertakan pertukaran yang memanggil boo ():

<textarea id="userbox"  onchange="boo();"></textarea>

Akhirnya, dalam. NET, gunakan

string val = Server.UrlDecode(HiddenField1.Value);

Saya sadar bahwa ini satu arah - jika Anda perlu dua arah, Anda harus kreatif, tetapi ini memberikan solusi jika Anda tidak dapat mengedit web.config

Berikut ini adalah contoh yang saya (MC9000) buat dan gunakan melalui jQuery:

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

Dan markupnya:

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

Ini sangat bagus. Jika seorang hacker mencoba memposting melalui melewati JavaScript, mereka hanya akan melihat kesalahannya. Anda dapat menyimpan semua data yang disandikan dalam basis data juga, lalu menghapusnya (di sisi server), dan menguraikan & memeriksa serangan sebelum ditampilkan di tempat lain.

Solusi lain di sini bagus, namun agak menyakitkan di bagian belakang harus menerapkan [AllowHtml] untuk setiap properti Model tunggal, terutama jika Anda memiliki lebih dari 100 model di situs berukuran layak.

Jika seperti saya, Anda ingin mematikan fitur (IMHO ini tidak berguna) di situs Anda dapat mengganti metode Execute () di pengontrol dasar Anda (jika Anda belum memiliki pengontrol basis, saya sarankan Anda membuatnya, mereka dapat cukup berguna untuk menerapkan fungsi umum).

    protected override void Execute(RequestContext requestContext)
    {
        // Disable requestion validation (security) across the whole site
        ValidateRequest = false;
        base.Execute(requestContext);
    }

Pastikan saja Anda meng-encode semua yang dipompa ke tampilan yang berasal dari input pengguna (itu adalah perilaku default dalam ASP.NET MVC 3 dengan Razor, jadi kecuali jika karena alasan aneh Anda menggunakan Html.Raw () Anda seharusnya tidak memerlukan fitur ini.

Saya mendapatkan kesalahan ini juga.

Dalam kasus saya, pengguna memasukkan karakter beraksen ádalam Nama Peran (terkait penyedia keanggotaan ASP.NET).

Saya meneruskan nama peran ke metode untuk memberikan Pengguna peran itu dan $.ajaxpermintaan posting gagal total ...

Saya melakukan ini untuk memecahkan masalah:

Dari pada

data: { roleName: '@Model.RoleName', users: users }

Melakukan hal ini

data: { roleName: '@Html.Raw(@Model.RoleName)', users: users }

@Html.Raw melakukan trik.

Saya mendapatkan nama Peran sebagai nilai HTML roleName="Cadastro bás". Nilai ini dengan entitas HTML ásedang diblokir oleh ASP.NET MVC. Sekarang saya mendapatkan nilai roleNameparameter seperti seharusnya: roleName="Cadastro Básico"dan mesin ASP.NET MVC tidak akan memblokir permintaan lagi.

Menonaktifkan halaman validasi jika Anda benar-benar membutuhkan karakter khusus seperti, >,, <, dll Kemudian memastikan bahwa ketika input pengguna ditampilkan, data yang HTML-dikodekan.

Ada kerentanan keamanan dengan validasi halaman, sehingga bisa dilewati. Validasi halaman juga tidak hanya bisa diandalkan.

Lihat: http://web.archive.org/web/20080913071637/http://www.procheckup.com:80/PDFs/bypassing-dot-NET-ValidateRequest.pdf

Anda juga dapat menggunakan fungsi pelarian (string) JavaScript untuk mengganti karakter khusus. Kemudian sisi server menggunakan Server. URLDecode (string) untuk mengubahnya kembali.

Dengan cara ini Anda tidak perlu mematikan validasi input dan akan lebih jelas bagi programmer lain bahwa string mungkin memiliki konten HTML.

Saya akhirnya menggunakan JavaScript sebelum setiap postback untuk memeriksa karakter yang tidak Anda inginkan, seperti:

<asp:Button runat="server" ID="saveButton" Text="Save" CssClass="saveButton" OnClientClick="return checkFields()" />

function checkFields() {
    var tbs = new Array();
    tbs = document.getElementsByTagName("input");
    var isValid = true;
    for (i=0; i<tbs.length; i++) {
        if (tbs(i).type == 'text') {
            if (tbs(i).value.indexOf('<') != -1 || tbs(i).value.indexOf('>') != -1) {
                alert('<> symbols not allowed.');
                isValid = false;
            }
        }
    }
    return isValid;
}

Memang halaman saya sebagian besar entri data, dan ada sangat sedikit elemen yang melakukan postback, tetapi setidaknya datanya tetap dipertahankan.

Anda dapat menggunakan sesuatu seperti:

var nvc = Request.Unvalidated().Form;

Nantinya, nvc["yourKey"]harus bekerja.

Selama ini hanya karakter "<" dan ">" (dan bukan kutipan ganda itu sendiri) dan Anda menggunakannya dalam konteks seperti <input value = " this " />, Anda aman (sedangkan untuk <textarea > yang ini </textarea> Anda tentu saja akan rentan). Itu mungkin menyederhanakan situasi Anda, tetapi untuk hal lain gunakan salah satu solusi diposting lainnya.

Jika Anda hanya ingin memberi tahu pengguna Anda bahwa <dan> tidak boleh digunakan TETAPI, Anda tidak ingin seluruh formulir diproses / diposting kembali (dan kehilangan semua input) sebelumnya, bisakah Anda tidak dengan mudah memasukkan validator di sekitar lapangan untuk menyaring karakter (dan mungkin karakter berbahaya lainnya) yang lain?

Tidak ada saran yang bekerja untuk saya. Saya tidak ingin mematikan fitur ini untuk seluruh situs web karena 99% waktu saya tidak ingin pengguna saya menempatkan HTML di formulir web. Saya baru saja membuat pekerjaan saya sendiri di sekitar metode karena saya satu-satunya yang menggunakan aplikasi khusus ini. Saya mengonversi input ke HTML dalam kode di belakang dan memasukkannya ke database saya.