从客户端检测到潜在危险的Request.Form值

Question

Webform1.aspx has grid.Grid contains edit button。点击编辑按钮，用户被重定向到webform2.aspx页面。查询字符串ID传递给Webform2.aspx。 Webform2.aspx显示该ID的所有数据。 Webform包含下拉列表，文本框和按钮等。

我从数据库中提取记录并将其分配给像下拉列表，文本框和按钮之类的控件。将值分配给包含<或>的文本框并尝试更新记录时。它引发一个异常。例外是A potentially dangerous Request.Form value was detected from the client。所以我尝试使用htmlencode方法。

下面是我的代码 在CS文件

public partial class Webform1 : System.Web.UI.Page 
    { 
    string strUrl=""; 
    protected void Page_Load(object sender, EventArgs e) 
    { 

    // Fetching value from database and assigning to string 
    Textbox1.Text= dr["URL"].ToString(); 
    // directly use string 
    //strUrl= dr["URL"].ToString(); 
    } 

    protected void button_Click(object sender, EventArgs e) 
    { 
    string s2 =""; 
    string s3 = "";    
    strUrl= Textbox1.Text;     
     if ((strUrl.Contains("<")) || (strUrl.Contains(">"))) 
     { 
      s2 = Server.HtmlEncode("<"); 
      s3 = Server.HtmlEncode(">"); 
      strUrl= strPingUrl.Replace("<", s2); 
      strUrl= strPingUrl.Replace(">", s3);          
     } 
    Textbox1.Text =strUrl; 
    // updation code 

当我将尝试插入它抛出分配值的TextBox如果我使用string.It工作的exception.Instead。我可以更新记录。但我不想这样。用户可以更改文本框中的值。所以我想从文本框中获取价值。

Answer 1

要在页面上禁用请求验证您必须设置页面指令为false validateRequest属性：

<%@ Page validateRequest="false" %> 

要禁用请求验证您的应用程序，您必须修改或创建一个Web.config文件您的应用程序和节的validateRequest属性设置为false：

<configuration> 
    <system.web> 
     <pages validateRequest="false" /> 
    </system.web> 
</configuration> 

如果要禁用请求验证您的服务器上的所有应用程序，可以让这个修改您的Machine.config文件。

在.NET 4中，你可能需要添加到web.config中：

<httpRuntime requestValidationMode="2.0" /> 

详情：

1. http://www.asp.net/whitepapers/request-validation
2. http://www.asp.net/whitepapers/aspnet4/breaking-changes#0.1__Toc245724857