A potentially dangerous Request.Form value was detected from the client

技术背景

在ASP.NET应用程序中，默认情况下，会对所有输入控件进行验证，以检测可能导致跨站脚本攻击(XSS)和SQL注入的不安全内容。当检测到潜在危险的输入时，会抛出 “A potentially dangerous Request.Form value was detected from the client” 异常。然而，在某些情况下，我们需要提交包含特殊字符（如HTML标签）的内容，这时就需要处理这个异常。

实现步骤

通用思路

1. 明确需求：确定是否真的需要接收特殊字符输入。如果是，需要考虑如何安全地处理这些输入。
2. 选择解决方案：根据具体情况选择合适的方法来避免或处理异常。
3. 实施安全措施：即使禁用了请求验证，也要确保对用户输入进行适当的编码，以防止XSS攻击。

详细步骤

1. 使用 ValidateRequest 指令

在 .aspx 文件中，设置 ValidateRequest="false" 来禁用当前页面的请求验证。

<%@ Page Language="C#" AutoEventWireup="true" ValidateRequest = "false" %>

如果要在整个应用程序中禁用验证，需要在 web.config 的 <system.web> 部分设置：

<pages validateRequest = "false" />

对于 .NET 4.0 及更高版本，还需要添加：

<httpRuntime requestValidationMode = "2.0" />

2. 在 MVC 中使用 AllowHtml 属性

在模型属性上添加 [AllowHtml] 属性，以允许该属性接收包含HTML标记的输入。

[AllowHtml]
public string Description { get; set; }

3. 使用 Request.Unvalidated

在控制器中使用 Request.Unvalidated["parameter_name"] 来获取未经验证的请求参数。

var varname = Request.Unvalidated["parameter_name"];

4. 重写请求验证逻辑

可以自定义请求验证器，重写 IsValidRequestString 方法。

public class MyRequestValidator: RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        bool result = base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

        if (!result)
        {
            if (requestValidationSource == RequestValidationSource.Form ||
                requestValidationSource == RequestValidationSource.QueryString)

                return true; 
        }
        return result;
    }
}

在 Application_Start 方法中设置自定义验证器：

protected void Application_Start()
{
    RequestValidator.Current = new MyRequestValidator();
}

5. 使用 JavaScript 进行预处理

在客户端使用 JavaScript 对输入进行编码，在服务器端进行解码。

function boo() {
    targetText = document.getElementById("HiddenField1");
    sourceText = document.getElementById("userbox");
    targetText.value = escape(sourceText.innerText);
}

在服务器端使用 Server.UrlDecode 进行解码。

string val = Server.UrlDecode(HiddenField1.Value);

6. 针对特定控件禁用验证

可以针对单个控件设置 ValidateRequestMode="Disabled"。

protected void Page_Load(object sender, EventArgs e)
{
    txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
}

核心代码

以下是一些关键代码示例：

自定义请求验证器

public class MyRequestValidator: RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        bool result = base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

        if (!result)
        {
            if (requestValidationSource == RequestValidationSource.Form ||
                requestValidationSource == RequestValidationSource.QueryString)

                return true; 
        }
        return result;
    }
}

JavaScript 预处理

function boo() {
    targetText = document.getElementById("HiddenField1");
    sourceText = document.getElementById("userbox");
    targetText.value = escape(sourceText.innerText);
}

服务器端解码

string val = Server.UrlDecode(HiddenField1.Value);

最佳实践

• 最小化禁用范围：尽量只在必要的页面或控件上禁用请求验证，避免在整个应用程序中禁用，以减少安全风险。
• 适当编码：无论是否禁用请求验证，都要对用户输入进行适当的编码，以防止 XSS 攻击。例如，在将用户输入输出到 HTML 页面时，使用 Server.HtmlEncode 方法。
• 输入验证：除了防止 XSS 攻击，还要对用户输入进行其他方面的验证，如长度限制、数据类型验证等。

常见问题

1. 禁用请求验证后仍出现异常

• 原因：可能是 web.config 中的 requestValidationMode 设置不正确，或者在某些地方仍然存在默认的请求验证逻辑。
• 解决方法：检查 web.config 文件，确保 requestValidationMode="2.0"，并检查整个应用程序中是否有其他地方启用了请求验证。

2. 安全风险问题

• 原因：禁用请求验证会增加 XSS 攻击的风险，如果不对用户输入进行适当的编码，攻击者可能会注入恶意脚本。
• 解决方法：始终对用户输入进行适当的编码，特别是在将其输出到 HTML 页面时。可以使用 Server.HtmlEncode 或更强大的 Anti-XSS 库。

3. 兼容性问题

• 原因：不同的 .NET 版本可能对请求验证的处理方式有所不同。
• 解决方法：根据使用的 .NET 版本，确保使用正确的配置方法。例如，在 .NET 4.0 及更高版本中需要设置 requestValidationMode="2.0"。