ASP.NET中validaterequest属性与安全性

开发 后端
ASP.NET中validaterequest属性是用来验证客户端用户的输入的,用来验证用户的输入中是否有危险字符。本文简单分析了validaterequest属性,并举了一个简单的例子。

我们先来了解一下validaterequest属性(注:本属性在.net 2.0中是新增的!)

1.它所在的命名空间:System.Web.Configuration

2.程序集:System.Web(在 system.web.dll 中)

3.所在的类:pagesSection

上面我大体了解了一下这个属性,下面我们在具体的分析一下该属性,

这个属性是用来验证客户端用户的输入的,用来验证用户的输入中是否有危险字符的,这个属性的默认值为true,微软之所以这么做是为了提高ASP.NET程序的安全性,所以很多程序员即使不知道怎么来防御黑客的攻击。

ASP.NET的一些默认属性等内容已经对安全进行了控制,这也是为什么ASP.NET的程序相对来说比较安全的原因。既然这个属性的默认值为true,而且ASP.NET页面的回发又很频繁,那么如果没有用户的交互的地方,这样ASP.NET 岂不是每次都要去严整呢,这样也是有可能会来回的损耗系统的执行时间的,至于:如果没有客户端的交互的话,到底ASP.NET会不会去验证这是微软的工程师的问题了。

对于我们来说,如果没有客户端交互的地方,我感觉是应该将此属性设置为 false的,这样的话无论 微软的工程师怎样设计,对我们程序的本身是没有任何影响的。

但是当需要跟用户交互的地方,我们就要用它的默认值了,可是事情可能并没有我们想象的那么简单,也没有那么完美,当用户在使用一些html编辑器的时候,自己本身提交的字符里就有<xxxxxxx>等这样的字符,这样就要求程序员必须要关闭validaterequest属性,这个时候我们又该怎样的来控制ASP.NET页面的安全性能呢?

当然了,这个地方我们可以来对一切危险字符进行过滤,这样可能提高一些安全性,但是我们防止用户的输入可能考虑的会有遗漏,这样就导致了安全还会是有问题的,我们可以反过来考虑我们到底需要提交多少特殊字符,然后对我们提交的特殊字符进行转义或替换,这样我们就又可以将validaterequest的属性设置为true了,这样既解决了程序的安全问题又满足了我们的需求。

有时候在与用户进行交互的时候,用户难免的会有输入特殊字符的时候,因为我们设置的validaterequest 的值为true所以页面会不给任何提示的前提下, 直接输出一大页的错误信息, 这样可能就导致了用户的误解,他们可能认为是我们网站出了问题,用户不可能会想到他输入了非法的字符! 对于这种情况我们又该怎么办呢?

幸好微软的工程师们在page里又给出了一个Page_Error的处理事件,这样我们就可以用它来进行异常的捕获了。代码如下:

protected void Page_Error(object sender, EventArgs e) 
    {
       Exception ex = Server.GetLastError();
       if (ex is HttpRequestValidationException)
       {
        Response.Write("您输入的字符中有非法字符!");
        Server.ClearError(); 
        }
     }

有了这样的提示,给用户的体验可能不知道要好上多少倍了!

【编辑推荐】

  1. 写给ASP.NET程序员:网站中的安全问题
  2. ASP.NET应用程序设计的10大技巧
  3. ASP.NET数据库编程入门
责任编辑:佚名 来源: 博客园
相关推荐

2009-07-23 17:07:58

2009-07-23 17:05:11

ASP.NET安全性

2009-07-29 11:25:40

2009-08-04 17:30:23

cookieless属ASP.NET

2009-07-22 17:55:52

2009-07-29 10:56:54

ASP.NET构架与安

2009-07-29 09:34:54

IsPostBack属ASP.NET

2009-07-28 13:17:09

EnableViewSASP.NET

2009-07-29 13:04:59

2009-09-23 09:19:23

2009-07-30 12:02:14

ASP.NET中WCF

2009-07-27 18:00:14

WCF服务与ASMX服ASP.NET

2009-12-02 09:07:45

ASP.NET 4.0

2009-07-29 17:29:46

ASP与ASP.NET

2009-07-22 17:45:35

ASP.NET教程

2009-07-29 15:07:23

Request对象的属

2010-05-06 17:46:47

2009-07-27 09:31:06

定义JavaScripASP.NET

2009-07-27 15:25:40

aspx页面ASP.NET

2009-07-20 15:57:42

ASP.NET安全架构
点赞
收藏

51CTO技术栈公众号