使用ValidateRequest=“false”asp.net的缺点
本文关键字:asp net 缺点 false ValidateRequest 使用 | 更新日期: 2023-09-27 18:26:55
我有一个带文本编辑器的asp.net页面。我正在将html传递到服务器端。所以我开始得到类似错误的潜在危险的脚本。
所以我用谷歌搜索了一下,在这个网站上找到了一个解决方案
ValidateRequest=“false”
在page指令中使用上面的代码解决了错误,但我想知道使用ValidateRequest="false"是否有任何缺点
您现在应该注意XSS(跨站点脚本)攻击。ValidateRequest=true通过禁止潜在危险的HTML脚本标记来保护您免受XSS攻击。我建议您仅对接受HTML的页面禁用ValidateRequest。这可以通过在页面顶部使用此指令来完成。
<%@ Page ValidateRequest="false" %>.
即使在您接受html的情况下,在C#方面,您也希望通过维护白名单来对收到的html进行一些处理。这篇文章是一个很好的资源,用于一个简单的HTML消毒器-HTML敏捷包条形标签不在白名单