Ich habe versucht, auf der Microsoft-Website zu suchen und googeln, aber niemand scheint eine Antwort neben der < und der>. Es gibt mehr als das. Ich habe bemerkt, dass der HTML-Entity-Starter & # ungültig ist. Gibt es noch etwas? Hat jemand eine komplette Liste?Welche Zeichen oder Zeichenkombinationen sind ungültig, wenn ValidateRequest auf "True" gesetzt ist?
Danke!
List of characters by framework version
1,1-Framework Validierung:
* &# * <alpha, <!, </ * script * On handlers like onmouseenter, etc… * expression( * Looks for these starting characters (‘<’, ‘&’, ‘o’, ‘O’, ‘s’, ‘S’, ‘e’, ‘E’)Das ist offensichtlich ein ziemlich streng ist Liste der Elemente, die eine validi auslösen würde im Fehlerfall. In der 2.0 Framework, Microsoft beschlossen, die Einschränkungen auf diese ziemlich zu lösen. Unten ist die Liste der Validierungsprüfungen im 2.0 Framework.
2.0 Framework Validierung:
* &# * <alpha, <!, </, <? * Looks for these starting characters (‘<’, ‘&’)
Ich habe keine vollständige Liste, aber warum brauchen Sie es? können Sie legen ValidateRequest = false und prevent for Script Injection for yourself.
Vielleicht finden Sie die Liste finden Sie hier: Allowing percents, angle-brackets, and other naughty things in the ASP.NET/IIS Request URL
Ich muss wissen, so kann QA aufhören mir zu sagen, fanden sie einen „Fehler“, wenn sie Daten eingeben, die durch ValidateRequest gekennzeichnet wird. Ich kann es nicht ausschalten, da unser IT-Sicherheitsteam verlangt, dass es immer an ist. Nicht mein Anruf. – hyprsleepy