我試着看着微軟網站和谷歌搜索這個,但沒有人似乎有一個答案,從<和>。除此之外還有更多。我注意到,&#的HTML實體啓動器無效。還有別的事嗎?有沒有人有完整的清單?當ValidateRequest設置爲true時,哪些字符或字符組合無效?
謝謝!
我試着看着微軟網站和谷歌搜索這個,但沒有人似乎有一個答案,從<和>。除此之外還有更多。我注意到,&#的HTML實體啓動器無效。還有別的事嗎?有沒有人有完整的清單?當ValidateRequest設置爲true時,哪些字符或字符組合無效?
謝謝!
List of characters by framework version
1.1框架驗證:
* &# * <alpha, <!, </ * script * On handlers like onmouseenter, etc… * expression( * Looks for these starting characters (‘<’, ‘&’, ‘o’, ‘O’, ‘s’, ‘S’, ‘e’, ‘E’)
這顯然是一個相當嚴格列表 的項目,將觸發一個 validati錯誤。在2.0 框架中,微軟決定放寬 對此的相當多的限制。 以下是2.0框架中驗證檢查 的列表。
2.0框架驗證:
* &# * <alpha, <!, </, <? * Looks for these starting characters (‘<’, ‘&’)
我沒有一個完整的列表,但爲什麼你需要它? 您可以設置ValidateRequest = false,並prevent for Script Injection for yourself.
也許你會發現這裏的列表:Allowing percents, angle-brackets, and other naughty things in the ASP.NET/IIS Request URL
我需要知道,所以QA可以停止告訴我,他們發現了一個「錯誤」,當他們進入該得到由ValidateRequest標記的數據。我們無法關閉它,因爲我們的IT安全團隊要求永遠在線。不是我的電話。 – hyprsleepy 2010-07-20 19:38:12