사용자 컨트롤 잠재적으로 위험한 Request.QueryString 값이 클라이언트에서 감지되었습니다.

Question

사용자 정의 컨트롤이 있는데 .net이 위험하다고 생각되는 쿼리 문자열을 전달하고 있습니다. 내 web.config에 넣었습니다.

<%@ Control Language="C#" AutoEventWireup="true" CodeBehind="Member.ascx.cs" Inherits="DOM.Umbraco.Web.usercontrols.Members" %> 

하지만 여전히 희망 ... 내가 어떻게 문제는이 쿼리 문자열을 허용 얻을 수 있습니다

<httpRuntime requestValidationMode="2.0" enableVersionHeader="false" maxUrlLength="10999" maxQueryStringLength="2097151"/> 

<security> 
     <requestFiltering> 
     <requestLimits maxUrl="10999" maxQueryString="2097151" /> 
     </requestFiltering> 
    </security> 

내 사용자 컨트롤은 무엇입니까?

감사 돔

Answer 1

당신은

<configuration> 
    <system.web> 
     <pages validateRequest="false" /> 
    </system.web> 
</configuration> 

더 유효성 검사에서 모든 보안 문제를 야기 할 수 없었다 고려 설정이 Web.config를 함께 요청 유효성 검사를 해제 할 수있다. 내장 된 유효성 검사를 클라이언트에서 데이터를 정리하기 위해 사용자 정의 만든 코드로 바꿔야합니다. 당신은 사용자 정의 컨트롤을 사용하는 페이지로이 설정을 제한하려면

, 당신은이 페이지 지시문

<@ Page validateRequest="false" %> 

Answer 2

재정의 요청 유효성 검사기를 사용하여 필요한 문자를 허용 할 수 있습니다. 데이터가 다시 표시 될 경우 원본 콘텐츠가 포함되어 위험 할 수 있으므로주의하십시오. 즉, 스크립트 태그

public class CustomRequestValidator : System.Web.Util.RequestValidator 
{ 
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex) 
    { 
     validationFailureIndex = 0; 

     if (requestValidationSource == RequestValidationSource.Form) 
     { 
      value = value.Replace("<", "").Replace(">", ""); 
     } 
     return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex); 
    } 
}