Мы бежим сайт с примерно 6000-7000 посетителей в Интернете одновременно (это, чтобы указать размер)Отключение ASP.Net Request.Path Validation
переключившись с ASP.Net 3,5 до 4,0 мы внезапно столкнуться с их масса:
Потенциально опасное значение Request.Path было обнаружено у клиента (>).
Они все поврежденные URL-адреса и, по-видимому, содержат какой-то HTML или javascript, которые были добавлены в действительный URL.
Например у нас есть один такой:
/UI/Формы/Users/Фотографии/функция (значение) {вар результат = NULL; for (var i = 0; i < this.length; i ++) {if (this [i] === val) {result = this [i]; this.splice (я
Как вы можете видеть, что это относительный URL, и он действителен до/Фотографии /. Однако функции (VAL) и т.д., является функцией от prototype.js, который обычно включен на страница
Мы не можем воссоздать проблему, однако это вызывает десятки тысяч исключений, которые мы бы предпочли, поскольку процесс регистрации требует времени. Кроме того, множество «нерелевантных» исключений заставляет наш журнал быть намного сложнее для чтения по актуальным вопросам.
Поэтому я полагаю, что у нас есть другие варианты, кроме как отключить проверку - так что вопрос в том, как именно?
Я не хочу отключать проверку запроса полностью, так как это также отключает проверку размещенных значений формы.
Большое спасибо за любую помощь заранее :-)
Я забыл упомянуть, что я уже установил это: -/Однако эта функциональность определенно не является частью сайта, - но обычные пользователи, честно говоря, недостаточно умны, чтобы выполнять атаки XSS, поэтому я думаю, что это какая-то проблема с браузером. – Steffen
Обычные пользователи могут быть недостаточно умны для выполнения XSS-атак, но достаточно умны, чтобы ввести '<' в поле ввода адреса, например. –
Хе-х истинно, однако скрипт, включенный в URL-адрес, представляет собой небольшую часть prototype.js, поэтому я сомневаюсь, что он исходит от пользователей. Как он попадает в URL-адрес, я понятия не имею. – Steffen