我们使用 Jasig .NET CAS 客户端与我们组织的 CAS SSO 服务器进行交互。
但是,我们注意到,在 ASP.NET MVC 3(我认为这也会影响WebForms)应用程序中 ASP.NET 当用户注销时,我们会在错误日志中看到以下错误:
System.Web.HttpRequestValidationException (0x80004005):
A potentially dangerous Request.Form value was detected from the client
(logoutRequest="<samlp:LogoutRequest...").
at System.Web.HttpRequest.ValidateString(String value, String collectionKey, RequestValidationSource requestCollection)
at System.Web.HttpRequest.ValidateNameValueCollection(NameValueCollection nvc, RequestValidationSource requestCollection)
at System.Web.HttpRequest.get_Form()
at System.Web.HttpRequest.FillInParamsCollection()
at System.Web.HttpRequest.GetParams()
at DotNetCasClient.Utils.RequestEvaluator.GetRequestIsCasSingleSignOut() in C:ProjectsJasigCASdotnet-clienttrunkDotNetCasClientUtilsRequestEvaluator.cs:line 292
at DotNetCasClient.CasAuthenticationModule.OnBeginRequest(Object sender, EventArgs e) in C:ProjectsJasigCASdotnet-clienttrunkDotNetCasClientCasAuthenticationModule.cs:line 93
at System.Web.HttpApplication.SyncEventExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
at System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously)
我不相信这是用户收到的错误消息 - 它似乎只有服务器才能看到。就用户而言,注销成功。
有什么方法可以让 MVC 停止尝试验证 ASP.NET 类型的请求?我知道我可以完全禁用请求验证,但这是不可能的。带有连字符的网站对此有一个很好的问题,但并不是一个真正可接受的答案:
将以下设置添加到 Web.config:
<httpRuntime requestValidationMode="2.0" />设置此值后,可以通过设置 validateRequest="false" 来禁用请求验证
那么,有没有办法在不完全关闭它的情况下禁用此请求的 ASP.NET 验证?
编辑:这也很难调试,因为此请求来自CAS服务器,而不是来自用户的浏览器。我认为这是 CAS 服务器试图通知所有正在运行的应用程序用户已注销(单点注销)。因此,我们仅在生产环境中收到此错误,而不是在本地测试时收到此错误。
dotnetcas 客户端在到达 MVC 控制器操作之前可以访问请求,因此无法简单地在 MVC 控制器或操作上设置验证属性。
此请求的目标似乎是已验证的最后一个 URL,因此无法使用此方法禁用对应用程序中特定路径的验证:http://erikbra.wordpress.com/2012/04/17/wif-saml-token-post-and-requestvalidationmode2-0/
据我所知,您有几种选择:
禁用此验证:
<system.web>
<httpRuntime requestValidationMode="2.0" />
</system.web>
或
.Net 4.5 允许您在请求通过验证之前访问请求。如果您有权访问此功能,则可以从源代码重新编译客户端,从而修复相关问题。
我不熟悉Jasig .NET CAS,但 ASP.NET MVC允许您在页面级别禁用请求验证。
将以下属性添加到控制器操作:
[ValidateInput(false)]