使用 ValidateRequest=“false” 来规避“检测到潜在危险的 Request.Form 值”的安全隐患
本文关键字:Request 危险 Form 安全 false ValidateRequest 使用 检测 | 更新日期: 2023-09-27 18:34:44
我收到以下消息:
从 客户
尝试保存值时$ .
我在网上查看了一些常见的答案,他们建议ValidateRequest="false"在 .ASPX 文件。
从安全的角度来看,这是一个很好的解决方案吗?不是存在安全风险吗?
为了扩展CodeCaster的评论,这绝对是一件危险的事情。您允许用户输入信息,这意味着精明的用户现在可以使用您的网站内部结构。
跨站点脚本
如果该值被发布到某个新闻提要或其他内容,允许自由格式输入可能意味着将javascript注入到您的提要中,这些提要将针对网站的其他用户执行并打开他们受到攻击。这可以像将广告注入您的网站一样简单,甚至将它们重定向到另一个攻击页面,这会让您看起来很糟糕。