单点登录 CAS 导致 asp.net mvc 的“从客户端中检测到有潜在危险的Request.Form值”错误

栏目: ASP.NET · 发布时间: 5年前

内容简介：我强调一下：方法一：就在action头部加上

我强调一下：在asp.net mvc中，如果遇到表单提交时，报“从客户端中检测到有潜在危险的Request.Form值”这种错误，

方法一：

就在action头部加上 [ValidateInput(false)] 特性，这就足够了，而且绝对可行。不要信网上什么修改配置文件，还要将运行时改为2.0，都快5.0了，你还2.0，扯。

但这不是最好的办法，因为同一表单，往往有多个字段。我认为比较好的方式是，

方法二：

提交的时候，用实体类参数代替FormCollection参数，实体类里需要用到html标记的属性，加上 [AllowHtml] 特性。

public class MailVM
    {
        public string Title { get; set; }
        public string Time { get; set; }
        [AllowHtml]
        public string Mess { get; set; }
    }

参考文章：

ASP.NET MVC 页面使用富文本控件的XSS漏洞问题

如果上面2种方法都不行，怎么办？

这是不可能的。如果真出现了这种情况，就检查下你是否用到了一些额外的Handler或module，比如我今天就发现，因为项目使用了CAS作为单点登录，客户端 DotNetCasClient.dll会率先对所有的请求进行拦截，我们定义在action上的特性之类根本还没机会运行到就报错了。

<modules>
      <remove name="DotNetCasClient"/>
      <add name="DotNetCasClient" type="DotNetCasClient.CasAuthenticationModule,DotNetCasClient"/>
    </modules>

这时就要对官网给的DotNetCasClient稍作修改。没关系，官网有源代码，直接下载下来修改。

原代码为

internal static bool GetRequestIsCasSingleSignOut()
        {
            CasAuthentication.Initialize();

            HttpContext context = HttpContext.Current;
            HttpRequest request = context.Request;

            bool requestIsFormPost = (request.RequestType == "POST");
            //请注意这一行
            bool haveLogoutRequest = !string.IsNullOrEmpty(request.Params["logoutRequest"]);

            bool result =
            (
                requestIsFormPost &&
                haveLogoutRequest
            );

            return result;
        }

CAS客户端并没有刻意去拦截什么危险性内容，但 request.Params["logoutRequest"] 这个读取动作会自然触发异常。知道原因就好改了。

可以改为

internal static bool GetRequestIsCasSingleSignOut()
        {
            CasAuthentication.Initialize();

            HttpContext context = HttpContext.Current;
            HttpRequest request = context.Request;

            bool requestIsFormPost = (request.RequestType == "POST");

            //by chenqu
            bool haveLogoutRequest = false;
            if(requestIsFormPost)
            {
                try
                {
                    haveLogoutRequest = !string.IsNullOrEmpty(request.Params["logoutRequest"]);
                }
                catch(System.Web.HttpRequestValidationException ex)
                {
                    haveLogoutRequest = false;
                }
                catch(Exception ex)
                {
                    throw ex;
                }
            }

            bool result =
            (
                requestIsFormPost &&
                haveLogoutRequest
            );

            return result;
        }

改完，编译成新的DotNetCasClient.dll，替换项目中的就OK了。尼玛再也不用担心你提交了啥危险内容了。其实，所谓XSS跨域攻击，提交的内容到了服务器，这时还不会有啥问题的，只有你将提交的内容又展示在页面上才会发生攻击，因为只不过是些HTML标记罢了，只有在浏览器才能被解释运行。

以上就是本文的全部内容，希望本文的内容对大家的学习或者工作能带来一定的帮助，也希望大家多多支持码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

自流量生活

斯科特·福克斯（Scott Fox） / 王晶晶 / 中信出版社 / 2018-8-1

一位远嫁他国的平凡女孩，陌生的环境、陌生的语言……她不得不从头学起。有写作爱好的她在网络上记录着她学习生活中的小故事。神奇的是，越来越多的人联系她，有人要付钱看新的故事，还有人想把这些故事拍成电视短片。她是怎么做到的？这本书将告诉你如何利用互联网打造自己的“流量”生活，使你既能获取收入，又能以自己喜欢的方式过一生。在阅读这本书的过程中，你可能会找到自己喜欢的生活方式，了解成功打造自身“流量......一起来看看《自流量生活》这本书的介绍吧!

码农工具

单点登录 CAS 导致 asp.net mvc 的“从客户端中检测到有潜在危险的Request.Form值”错误

自流量生活

RGB转16进制工具

随机密码生成器

XML、JSON 在线转换