我试着看着微软网站和谷歌搜索这个,但没有人似乎有一个答案,从<和>。除此之外还有更多。我注意到,&#的HTML实体启动器无效。还有别的事吗?有没有人有完整的清单?当ValidateRequest设置为true时,哪些字符或字符组合无效?
谢谢!
我试着看着微软网站和谷歌搜索这个,但没有人似乎有一个答案,从<和>。除此之外还有更多。我注意到,&#的HTML实体启动器无效。还有别的事吗?有没有人有完整的清单?当ValidateRequest设置为true时,哪些字符或字符组合无效?
谢谢!
List of characters by framework version
1.1框架验证:
* &# * <alpha, <!, </ * script * On handlers like onmouseenter, etc… * expression( * Looks for these starting characters (‘<’, ‘&’, ‘o’, ‘O’, ‘s’, ‘S’, ‘e’, ‘E’)
这显然是一个相当严格列表 的项目,将触发一个 validati错误。在2.0 框架中,微软决定放宽 对此的相当多的限制。 以下是2.0框架中验证检查 的列表。
2.0框架验证:
* &# * <alpha, <!, </, <? * Looks for these starting characters (‘<’, ‘&’)
我没有一个完整的列表,但为什么你需要它? 您可以设置ValidateRequest = false,并prevent for Script Injection for yourself.
也许你会发现这里的列表:Allowing percents, angle-brackets, and other naughty things in the ASP.NET/IIS Request URL
我需要知道,所以QA可以停止告诉我,他们发现了一个“错误”,当他们进入该得到由ValidateRequest标记的数据。我们无法关闭它,因为我们的IT安全团队要求永远在线。不是我的电话。 – hyprsleepy 2010-07-20 19:38:12