2012-01-25 9 views
7

Aquí está mi Default.aspxerror de solicitud ¿Por potencialmente peligrosos incluso ValidateRequest = false

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default" ValidateRequest="false" %> 
<html> 
    <head runat="server"> 
     <title>xss demonstration</title> 
    </head> 
    <body> 
     <form id="form1" runat="server"> 
     <div> 
      We are looking for your feedback. 
      <asp:TextBox ID="txtFeedback" runat="server" TextMode="MultiLine" /> 
      <br /> 
      <asp:Button ID="submit" runat="server" Text="Submit" onclick="submit_Click" /> 
      <br /> 
      Comment: 
      <br /> 
      <asp:Literal ID="ltlFeedback" runat="server" /> 
     </div> 
     </form> 
    </body> 
</html> 

Y a continuación es Default.aspx.cs

public partial class _Default : System.Web.UI.Page 
{ 
    protected void submit_Click(object sender, EventArgs e) 
    { 
     this.ltlFeedback.Text = this.txtFeedback.Text; 
    } 
} 

Cuando ejecuto la aplicación y entrar en el siguiente caja de texto.

<script>alert('Hello')</script> 

Recibo un error de seguimiento. Se detectó

Un valor Request.Form potencialmente peligroso desde el cliente (txtFeedback = "alert ('Hola ...").

Mi pregunta es por qué me sale este error aunque ValidateRequest se establece en false en la página?

Respuesta

0

que sólo tenemos que añadir siguiente código en su web.config

<system.web> 
     <compilation debug="false" targetFramework="4.0" /> 
     <httpRuntime requestValidationMode="2.0"/> 
</system.web> 

pero tenga cuidado al hacer esto puede ser víctima de cross site scripting ataque

Cuestiones relacionadas