by Israr Khan
7. oktober 2010 22:00
I ren kodeverk.net ånd:
Følgende feilmelding skyldes grunnet endring av valideringsregler i .Net 4.0: (A potentially dangerous Request.Form value was detected from the client med tilhørende stacktrace)
Årsaken ligger i at validering av typisk sql-injection, XSS og lignende kode er strengere i .Net 4.0 enn i tidligere utgaver - i tillegg er request validation som default skrudd på i .Net 4.0 og skjer i det requesten treffer pipelinene til IIS/ASP.net. I tidligere utgaver av .Net skjer valideringen først når requesten treffer WebForms-pipelinene. Dette medfører da at det heller ikke er nok å deklare en asp.net Web-form med ValidateRequest="false" - men må altså gjøres på Web.config filen istedenfor. (dette da som følge av at valideringen gjøres før WebForms-siden blir lastet og eventuell override av validering blir gjort gjeldende).
Enkel fiks på dette er å kjøre opp applikasjonen som per nå er laget for .Net 3.5(2.0) og lavere er med følgende endring i Web.config-filen:
requestValidationMode="2.0" under httpruntime-seksjonen.
"The request validation feature in ASP.NET provides a certain level of default protection against cross-site scripting (XSS) attacks. In previous versions of ASP.NET, request validation was enabled by default. However, it applied only to ASP.NET pages (.aspx files and their class files) and only when those pages were executing.
In ASP.NET 4, by default, request validation is enabled for all requests, because it is enabled before the BeginRequest phase of an HTTP request. As a result, request validation applies to requests for all ASP.NET resources, not just .aspx page requests. This includes requests such as Web service calls and custom HTTP handlers. Request validation is also active when custom HTTP modules are reading the contents of an HTTP request.
As a result, request validation errors might now occur for requests that previously did not trigger errors. To revert to the behavior of the ASP.NET 2.0 request validation feature, add the following setting in the Web.config file:
<httpRuntime requestValidationMode="2.0" />
However, we recommend that you analyze any request validation errors to determine whether existing handlers, modules, or other custom code accesses potentially unsafe HTTP inputs that could be XSS attack vectors."
http://www.asp.net/learn/whitepapers/aspnet4/breaking-changes
Sjekk også ut : http://blogengine.codeplex.com/Thread/View.aspx?ThreadId=226547
