首页 新闻 赞助 找找看

requestValidationMode="2.0" requestValidationMode="4.0" 哪个更安全点

0
[已解决问题] 解决于 2020-09-30 16:00

2.0只验证页面,4.0验证所有,我只是来确认下是不是4.0更安全一些?

网上的解释:

requestValidationMode 有两个bai值:
2.0 仅对网页启用请求验证。是启用还是du关闭取决于zhi validateRequest。
4.0 默认值。任何 HTTP 请求都会启用请求验证,dao也就是说不光是网页,还包括 Cookie 等。此时强制启用,不管 validateRequest 为何值。
由于 requestValidationMode="4.0" 是强制启用,所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的,还得将 requestValidationMode 设置为 2.0。
ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击,之前版本的ASP.NET的请求验证是默认启动的,但是他仅仅应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。
而在ASP.NET4中,请求验证默认对所有类型的请求启动,因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证,而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样,在自定义httpmodules读取http请求的时候,同样要经过请求验证。

他这里面说的“请求验证”到底是验证的什么?

大da脸的主页 大da脸 | 初学一级 | 园豆:73
提问于:2020-09-30 15:26
< >
分享
最佳答案
0

请求验证一般是指对表单输入框里面的输入值进行验证,比如文本框里面输入了html标签时,在提交表单时会报错,例如:
https://jingyan.baidu.com/article/3f16e003ed746d2590c1034e.html

你可以看看这篇文章,requestValidationMode不是说值越大就越安全,只不过它俩的适用范围不同
https://stackoverflow.com/questions/16590032/requestvalidationmode-4-5-vs-2-0

https://docs.microsoft.com/zh-cn/dotnet/api/system.web.configuration.httpruntimesection.requestvalidationmode?redirectedfrom=MSDN&view=netframework-4.8#System_Web_Configuration_HttpRuntimeSection_RequestValidationMode

奖励园豆:5
E行者 | 小虾三级 |园豆:1761 | 2020-09-30 15:43

你能不能总结个结果?看了太多了,看到吐

大da脸 | 园豆:73 (初学一级) | 2020-09-30 15:45

@大da脸: 那就用4.0,如果页面要放开验证,就在web.config中添加:<pages validateRequest="false">

E行者 | 园豆:1761 (小虾三级) | 2020-09-30 15:59

@E行者: 非常感谢大佬总结

大da脸 | 园豆:73 (初学一级) | 2020-09-30 16:00

@大da脸: 不谢

E行者 | 园豆:1761 (小虾三级) | 2020-09-30 16:01
清除回答草稿
   您需要登录以后才能回答,未注册用户请先注册