Dans ASP.NET, est-il dangereux d'obtenir une URL via une URL?

Il est possible d'obtenir une chaîne via Request.QueryString.Get("url") mais ASP.NET déclenche une exception: "Une valeur Request.Path potentiellement dangereuse a été détectée à partir du client". Je ne vais pas faire confiance à cette URL pour quelque raison que ce soit (par exemple rediriger le client vers cette URL). Suis-je censé changer mon design ou simplement désactiver l'exception ASP.NET? Comment supprimer cette validation?Dans ASP.NET, est-il dangereux d'obtenir une URL via une URL?

Source

2010-10-31 Xaqron

La redirection de connexion l'utilise également, assurez-vous simplement que le code HTML est encodé. – Marko

Je prévoyais de ne pas l'encoder pour la lisibilité par les utilisateurs, alors ils peuvent le changer facilement. Quoi alors? – Xaqron

est aussi dangereux que n'importe quelle autre forme que l'entrée de l'utilisateur vraiment. dépend de ce que vous allez l'utiliser pour. Asp.net essaiera de restreindre certaines «erreurs» possibles que vous pourriez commettre, dans ce cas, il effectuera la validation de la demande, empêchera XSS possible, et essaiera de vous sauver de vous-même. vous pouvez bien sur remplacer <%@ Page validateRequest="false" %>, mais vous aurez besoin de vraiment assurez-vous de ne pas introduire un problème de sécurité dans votre système maintenant.

Source

2010-10-31 21:15:05 jasper

Dans ASP.NET, est-il dangereux d'obtenir une URL via une URL?

Répondre

Questions connexes