从客户端检测到潜在危险的 Request.Path 值 (&)

Question

我明白为什么会发生这种情况，但我需要解决方法。我在 StackOverflow 上查看了其他一些问题，但没有一个有帮助。我不想禁用整个网站的输入验证，因为这绝对是危险的。我只有一个（至少现在）需要禁用输入验证的地方。

我使用 [ValidateInput(false)] 属性修饰了 Action Method，并且使用 Html.Encode 对字符串进行了编码。但是，我仍然遇到同样的错误。这是我的看法：

<div id="sharwe-categories">
    <ul class="menu menu-vertical menu-accordion">
        @foreach(var topLevel in Model)
        {
            var topLevelName = Html.Encode(topLevel.Name);
             <li class="topLevel">
                <h3>  
                    @Html.ActionLink(topLevel.Name, "Index", "Item", new { category = topLevelName }, new {@class = "main"} )
                    <a href="#" class="drop-down"></a>
                </h3>
                <ul>
                    @foreach (var childCategory in topLevel.Children)
                    {
                        var childcategoryName = Html.Encode(childCategory.Name);
                        <li>@Html.ActionLink(childCategory.Name, "Index", "Item", new RouteValueDictionary { { "category", topLevelName }, { "subcategory", childcategoryName } }, null)</li>
                    }
                </ul>
            </li>
        }

    </ul>

</div>

如您所见，没有用户输入。但是有些类别名称中有一些“危险”字符...有什么解决办法吗？

Answer 1

您可能会发现following blog post 对于在 url 中使用特殊字符很有用。但一般来说，最好的做法是 replace those titles with slugs 与 StackOverflow 一样，在 url 中使用问题标题以获得更好的 SEO 并使用 id 来识别它们。

Answer 2

尽管 Darin 的答案完全可行，但我不建议使用 Scott Hanselman 逐步关闭所有这些验证的技术。你迟早会陷入深渊……

使用 ID 和虚拟字符串（这对 SEO 和人们非常有用）的第二个建议是一种可行的方法，但有时它们也不可行。想象一下这个请求 URL：

/111/Electronics/222/Computers/333/Apple

虽然我们有这些我们可以依赖的 ID 和人类/SEO 友好的类别名称，但这绝对不是我们想要的。当我们需要表示单个项目时，ID + Dummy string 是可行的。在其他情况下不是。而且由于您必须显示类别和子类别，这是一个问题。

那你能做什么？

两种可能的解决方案：

1. 将类别名称清理为仅包含有效字符 - 可以这样做，但如果这些不是静态的并且特权用户无法编辑，那么您在这里就不走运了，因为即使您现在已经清理了它们，稍后有人会输入无效的内容

2. 随时随地清理您的字符串 - 当您使用类别名称时，将其清理并在读取和使用它（以获取实际的类别 ID）时，您可以将提供的（先前清理的）类别名称与您在 DB 中的值进行比较随时清理：

   1. 现在在过滤类别时
   2. 在生成类别名称之前

我建议您采用 2.2 方法。扩展您的数据库表以包含两列：

• 类别显示名称
• 类别 URL 友好名称

您还可以在第二列上设置唯一约束，这样就不会发生您的两个类别（即使它们具有不同的显示名称）具有相同的 URL 友好名称。

如何清洁

首先想到的是去除无效字符，但这非常繁琐，而且您很可能会遗漏一些内容。从您的类别显示名称中获取有效字符更加容易和明智。我在生成 dummy URL 类别名称时也做了同样的事情。只需取出有效的并将其余的放入垃圾箱。它通常工作得很好。此类正则表达式的两个示例：

1. (\w{2,}) - 只使用字母、数字和下划线，并且至少使用其中两个（因此我们省略了 a 或单个数字和类似的东西，它们不会增加任何意义，并且会不必要地延长我们的 URL
2. ([a-zA-Z0-9]{2,}) - 只有字母和数字（也是 2+）

获取您的类别显示名称中的所有匹配项，并用空格/破折号将它们连接起来，并与原始显示名称一起保存。一个不同的question of mine 正是与此有关。

为什么要增加一列？因为您无法在 SQL Server 中运行正则表达式。如果您使用的是 MySql，您可以使用一列并在 DB 上使用正则表达式。

Answer 3

即使您不应该这样做……有时也没有一种简单的方法可以绕过它。 web.Config 中 httpRuntime 标记上的 requestPathInvalidCharacters 是您所寻求的。只需在 部分输入以下内容：

<httpRuntime requestPathInvalidCharacters="<,>,*,%,:,\" />

我强烈建议使用以下方法锁定它：

<location path="the/path/you/need/to/lock/down">
    <system.web>
        <httpRuntime requestPathInvalidCharacters="&lt;,&gt;,*,%,:,\"/>
    </system.web>
</location>

只需将其放入根 标记中即可。这样...您不会打开整个站点以允许路径中出现 & 符号...并可能使整个站点遭受无法预料的攻击。