Отключение ASP.Net Request.Path Validation

Question

Мы бежим сайт с примерно 6000-7000 посетителей в Интернете одновременно (это, чтобы указать размер)

переключившись с ASP.Net 3,5 до 4,0 мы внезапно столкнуться с их масса:

Потенциально опасное значение Request.Path было обнаружено у клиента (>).

Они все поврежденные URL-адреса и, по-видимому, содержат какой-то HTML или javascript, которые были добавлены в действительный URL.

Например у нас есть один такой:

/UI/Формы/Users/Фотографии/функция (значение) {вар результат = NULL; for (var i = 0; i < this.length; i ++) {if (this [i] === val) {result = this [i]; this.splice (я

Как вы можете видеть, что это относительный URL, и он действителен до/Фотографии /. Однако функции (VAL) и т.д., является функцией от prototype.js, который обычно включен на страница

Мы не можем воссоздать проблему, однако это вызывает десятки тысяч исключений, которые мы бы предпочли, поскольку процесс регистрации требует времени. Кроме того, множество «нерелевантных» исключений заставляет наш журнал быть намного сложнее для чтения по актуальным вопросам.

Поэтому я полагаю, что у нас есть другие варианты, кроме как отключить проверку - так что вопрос в том, как именно?

Я не хочу отключать проверку запроса полностью, так как это также отключает проверку размещенных значений формы.

Большое спасибо за любую помощь заранее :-)

Answer 1

Если эта функция является частью вашего сайта (размещение специальных символов в несколько страниц), то вы можете добавить следующие строки в файле web.config:

<httpRuntime requestValidationMode="2.0" /> 

Это отключит проверку запроса на страницах с пометкой ValidateRequest="false". В ASP.NET 4.0 вам нужен этот атрибут, или даже если вы отключите проверку запроса страницы, вы получите исключения.

Если, с другой стороны, эти исключения являются атаками вашего сайта, тогда просто ничего не делают и оставляют инфраструктуру ASP.NET этими опасными запросами.