Ich muss ein Validierungs-Steuerelement überprüfen, aber ich bin mir nicht sicher, welche Art von Text ASP.NET denkt, ist ein Sicherheitsproblem. Kann mir jemand etwas zum Ausprobieren geben? Ich habe verschiedene HTML-Tags ausprobiert und es scheint, dass sie gut sind. Dies ist ein mehrzeiliges Rich-Textfeld, das zum Speichern eines Textfeldes in der Datenbank verwendet wird. Der Code zum Speichern ist in einem If Me.IsValid ohne ELSE angegeben, aber nachdem die Speicherfunktion aufgerufen wurde, wird eine gespeicherte Nachricht angezeigt und die Seite umgeleitet. Einige Benutzer haben Arbeit verloren, daher denke ich, dass Me.IsValid falsch ist, also wird die Speicherfunktion aufgerufen, tut aber nichts ... Wie auch immer kann ich versuchen, dies mit ungültig zu machen? Hinweis Ich habe den Code dafür nicht geschrieben. Ich bin nur an der Fehlersuche.Beispieltext, der die ASP.NET-Texteingabe ungültig macht?
Antwort
Es klingt, als ob Sie Validator-Steuerelemente mit ValidateRequest, einem internen Mechanismus von ASP.Net zur Bereinigung von Anfragen, verwirren.
Die Validierervalidierung hängt vollständig von Ihren Validatoren ab. Verwenden Sie einen RequiredFieldValidator? Dann sind die ungültigen Eingaben einfach leere Textfelder. Ist es ein RegularExpressionValidator? Dann müssen Sie etwas eingeben, das nicht mit dem regulären Ausdruck übereinstimmt. KundenValidator? Dann müssen Sie die Validierungslogik überprüfen.
Es klingt für mich eher so, als ob Sie sich Sorgen darüber machen, dass die Eingabe für das Ausführen von Datenbankabfragen mit bereinigt wird. Das erste, was Sie überprüfen müssen, ist, dass in Ihrer Page-Direktive "ValidateRequest" nicht auf "false" gesetzt ist. Wenn ja, würde das erklären, warum HTML durchgelassen wird.
Sie sollten auch den folgenden Besuche:
How to: Protect Against Script Exploits in a Web Application by Applying HTML Encoding to Strings
Validating User Input in ASP.NET Web Pages
Dann, wenn Sie einen Datenbank-Injection-Angriff versuchen mögen, Google nur für ein grundlegendes SQL-Injection-Tutorial.
javascript:alert('rrrrrooooaaaarrrrr');
Ist ein guter Anfang.
einige ASCII-Codes für nicht Bruchräume Versuchen, Wagenrücklauf usw.
Da Sie in einer Datenbank sind zu speichern, versuchen, einige SQL-Injection als auch.
- 1. Warum macht push_back oder push_front die Iteratoren einer Deque ungültig?
- 2. Was macht eine Schriftart für die Verwendung in gVim ungültig?
- 3. Was macht diesen "Deklarator ungültig"? C++
- 4. Platzhalter/Beispieltext in Textfeld für Benutzer
- 5. Das Hinzufügen von Base64-String zu JSON macht es ungültig
- 6. Datum mit Hawaii Zeitzone macht ungültig JavaScript Datum
- 7. Wie man andere Werte als der Beispieltext zeigt, der auf TextView in Android ist
- 8. Warum macht die Boost Graph Library beim Entfernen eines Scheitelpunkts alle Iteratoren ungültig?
- 9. MembershipCreateUserException - Der Benutzername ist ungültig
- 10. Der Wert "(String)" ist ungültig
- 11. CsvDataException: Anzahl der Felder ungültig
- 12. Entweder ist der Zugangscode ist ungültig oder die OAuth-Token ist revoked.Details: ungültig _grant
- 13. Fehler: Der Dienst ist ungültig
- 14. Warum macht der Nachschneider die folgende Empfehlung?
- 15. C++ macht list.unique() die Größe der Liste?
- 16. Was macht die Änderung der config.assets.version-Nummer?
- 17. Der Wert für die UseBean-Klasse Attribut logbean.LoginBean ist ungültig
- 18. Was macht der DBContext.Entry?
- 19. Macht der Convenience-Konstruktor die Größe der App größer ...?
- 20. Path.GetTempFileName - Verzeichnisname ist ungültig
- 21. System.InvalidCastException: Die angegebene Umwandlung ist ungültig Xamarin
- 22. Was macht der ^?
- 23. Ungültig forEach()
- 24. Den Cache der CPU ungültig machen
- 25. Länge der Daten zu entschlüsseln, ist ungültig
- 26. in der Auswahlliste ungültig, da er
- 27. Prevent Eingangsänderung, wenn der neue Wert ungültig
- 28. kompilieren Fehler ungültig außerhalb der Prozedur
- 29. Wird Winkel Modellwert aktualisieren, wenn der ViewValue ungültig ist
- 30. Instagram API: Der angegebene access_token ist ungültig
Können Sie die Markierung oder den Code posten? Ist EnableEventValidation auf der Seite auf true (oder nicht festgelegt) oder false festgelegt? Ich würde denken, dass fast HTML abgelehnt würde, wenn EnableEventValidation nicht auf false gesetzt wäre. Wenn es auf "false" gesetzt ist, wird nur der Validierungssatz im Code angezeigt. – tvanfosson