От клиента было обнаружено потенциально опасное значение Request.QueryString

я использую вебформу

Я провожу тестирование безопасности на своем сайте, но когда я пытаюсь передать URL-адрес, QueryString, например:

'"-->netsparker(0x00286A) mysite/Error/PageNotFound.aspx?aspxerrorpath=%27%22--%3E%3C/style%3E%3C/script%3E%3Cscript%3Enetsparker(0x0030C5)%3C/script %3E

Я получил ошибку сервера в приложении '/'.

От клиента было обнаружено потенциально опасное значение Request.QueryString От клиента было обнаружено потенциально опасное значение Request.Path (>).

у меня в web.config

<httpRuntime  enableVersionHeader="false"/>
<customErrors mode="On"  defaultRedirect="~/Error/GeneralError.aspx">
  <error statusCode="404" redirect="~/Error/PageNotFound.aspx" />
  <error statusCode="403" redirect="~/Error/GeneralError.aspx" />    
  <error statusCode="500" redirect="~/Error/GeneralError.aspx" />      
</customErrors>

    ..................

<pages controlRenderingCompatibilityVersion="4.0" viewStateEncryptionMode="Always">

Любая идея, как я могу это исправить?


.net c# asp.net query-string custom-error-handling
person gvd    schedule 15.11.2013    source источник
comment
Это правильный ответ сервера. Однако вы можете отключить проверку запроса. Ваш ответ здесь: stackoverflow.com/questions/2673850/ Прочтите страницу MSDN, на которую есть ссылка в этом ответе.   -  person nomad    schedule 16.11.2013
comment
Я следую предложенному ответу, но продолжаю представлять предыдущую ошибку и одну дополнительную... Ошибка сервера в приложении «/». Описание ошибки выполнения: при обработке вашего запроса возникла исключительная ситуация. Кроме того, при выполнении пользовательской страницы ошибки для первого исключения возникло другое исключение. Запрос прекращен.   -  person gvd    schedule 16.11.2013
comment
stackoverflow.com/questions/3885697/   -  person Sten Petrov    schedule 21.04.2015

Ответы (1)


arrow_upward
1
arrow_downward

Ваша ошибка связана с нарушением встроенных правил безопасности платформы ASP. Эти правила предотвращают атаки путем внедрения и межсайтового скриптинга. Если вы используете MVC, есть удобный AntiForgeryToken, который может позаботиться об этом за вас.

Пожалуйста, ознакомьтесь с постом Скотта Хансельмана.

http://www.hanselman.com/blog/ExperimentsInWackinessAllowingPercentsAnglebracketsAndOtherNaughtyThingsInTheASPNETIISRequestURL.aspx

person codingpirate    schedule 15.11.2013
comment
Ссылка никуда не ведет, друг. Ошибка 404 - Страница Не Найдена. - person Malcolm Salvador; 16.11.2013
comment
@Malky Исправил ссылку.. - person codingpirate; 16.11.2013
comment
Это не работает для ASP.NET WebForm.... - person gvd; 18.11.2013