解决“检测到有潜在危险的Request.Form值”

先看以下 web.config 的代码：

<system.web> 
    <compilation debug="true" targetFramework="4.0"/> 
    <httpRuntime requestValidationMode="2.0" /> 
    <pages validateRequest="false"></pages> 
</system.web>

validateRequest 这句咱们知道是关闭验证，也就是说提交带标签，好比 <strong>粗体</strong> 这样的值时，ASP.NET 不会报错。

但在 4.0 中还多了一个 requestValidationMode，这是什么意思呢？

requestValidationMode 有两个值：

• 2.0仅对网页启用请求验证。是启用仍是关闭取决于 validateRequest。
• 4.0 默认值。任何 HTTP 请求都会启用请求验证，也就是说不光是网页，还包括 Cookie 等。此时强制启用，无论 validateRequest 为什么值。

因为 requestValidationMode="4.0" 是强制启用，因此咱们会发如今 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的，还得将 requestValidationMode 设置为 2.0。

 

ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击，以前版本的ASP.NET的请求验证是默认启动的,可是他牢牢应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

而在ASP.NET4中，请求验证默认对全部类型的请求启动，由于它在BeginRequest被调用以前启动,结果就是对全部资源的请求都要通过请求验证，而不单单在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。一样，在自定义httpmodules读取http请求的时候，一样要通过请求验证。

上述缘由引起的最终结果就是在ASP.NET4中会引起请求错误，例如检测到有潜在危险的Request.Form值等等，为了解决这个问题，能够经过将验证模式设置为ASP.NET以前的版本。具体步骤是在web.config中加入如下配置：

<httpRuntime requestValidationMode=”2.0″ />

设置了请求模式后，再设置

<system.web>
<pages validaterequest=”false”/>
</system.web>

 

MVC框架中，在控制方法前加入：

[ValidateInput(false)]属性。