我有一个 ASP.NET MVC 应用程序,它启用了 Windows Identity Foundation 身份验证,并使用 ADFS 作为 STS。 该应用程序现在位于带有 MVC 4 的 .NET 4.5 上。 当我将 ASP.NET requestValidation 从 2.0 更改为 4.5 时,我收到此错误:
A potentially dangerous Request.Form value was detected from the client
(wresult="<t:RequestSecurityTo...").
我猜这是来自 ADFS 的重定向。 我怎样才能解决这个问题?
【问题讨论】:
升级您的应用程序以使用框架中包含的 WIF 4.5:http://msdn.microsoft.com/en-us/library/jj157089.aspx
将 RequestValidation 设置为 4.5 模式:
<httpRuntime targetFramework="4.5" requestValidationMode="4.5" />
WIF 4.5 与 ASP.NET 4.5 中的请求验证完美配合。
【讨论】:
Eugenio 引导我走向正确的方向。但他所指的示例在 ASP.NET 4.5 中不再适用。 正如我已经评论过他的回答,这导致了堆栈溢出。这是因为 requestvalidation 现在在请求数据时完成。因此,验证在 WSFederationMessage.CreateFromFormPost 请求数据时完成。这会触发我们的 requestvalidator。这个 requestvalidator 再次调用 WSFederationMessage.CreateFromFormPost 等等。 在对 WIF 代码进行了一些挖掘之后,我现在有了一个稍微修改过的 requestvalidator,它正在工作。我们使用 CreateFromNameValueCollection 代替 CreateFromFormPost(CreateFromFormPost 也使用它),但现在我们可以使用 Request.Unvalidated.Form 来提供它。
public class RequestValidator : System.Web.Util.RequestValidator
{
protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
{
validationFailureIndex = 0;
if (requestValidationSource == RequestValidationSource.Form &&
collectionKey.Equals(WSFederationConstants.Parameters.Result, StringComparison.Ordinal))
{
if (WSFederationMessage.CreateFromNameValueCollection(WSFederationMessage.GetBaseUrl(context.Request.Url), context.Request.Unvalidated.Form) as SignInResponseMessage != null)
{
return true;
}
}
return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);
}
}
【讨论】:
是的,在您的情况下,这是从 STS (ADFS) 发回的 SAML 令牌。您可以按照 Garrett 的建议禁用验证,或者更好的是,您可以提供一个能够理解 SAML 令牌的适当验证器,这很容易做到。
查看其他问题/答案:Potentially dangerous Request.Form in WSFederationAuthenticationModule.IsSignInResponse
【讨论】:
我们遇到了同样的问题,但我们的验证器需要继续针对 4.0 构建,以便它可以在 4.0 或 4.5 环境中使用,因此我们无法使用 Jaap 发布的解决方案。我们的解决方案是在 HttpContext.Items 中放置一个标记,让我们知道验证已经在进行中,这样当触发嵌套验证时,我们可以简单地让它通过。
public class WifRequestValidator : RequestValidator
{
protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
{
validationFailureIndex = 0;
if (requestValidationSource == RequestValidationSource.Form && collectionKey.Equals(WSFederationConstants.Parameters.Result, StringComparison.Ordinal))
{
if(AlreadyValidating(context))
{
return true; // Allows us to bypass check that happens as a result of trying to use context.Request.Form
}
StartValidating(context);
if (IsWsFedSigninResponse(context))
{
return true;
}
EndValidating(context);
}
return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);
}
private static bool AlreadyValidating(HttpContext context)
{
return context.Items["__ApprendaRequestValidatorInProgress"] != null;
}
private static void StartValidating(HttpContext context)
{
context.Items["__ApprendaRequestValidatorInProgress"] = new object();
}
private static bool IsWsFedSigninResponse(HttpContext context)
{
return WSFederationMessage.CreateFromFormPost(context.Request) as SignInResponseMessage != null;
}
private static void EndValidating(HttpContext context)
{
context.Items["__ApprendaRequestValidatorInProgress"] = null;
}
}
【讨论】:
注意,在 4.5 请求验证模式下,如果您的 asp.net 服务器端代码在 siginin 期间(即发布 SAML 令牌时)使用 Request 对象,您可能还需要做一些额外的工作。 默认情况下,即使打开了 4.5 请求验证模式,在发布 SAML 令牌时也会抛出 Request.Params。
【讨论】: