最近收到了很多这样的错误。我做了一些研究,发现这是因为在输入文本中检测到了html。这是否意味着有人试图破解我的网站?
我可以通过关闭页面验证来阻止这种情况的发生,但这似乎不是一个好的解决方案。
以下是其中一个错误的一些信息:
HTTP_CONNECTION:keep-alive HTTP_ACCEPT:*/* HTTP_ACCEPT_ENCODING:gzip, deflate HTTP_ACCEPT_LANGUAGE:en-us HTTP_HOST:www.easymuaythai.com HTTP_REFERER:http://www.google.com/search?q=symbolic+tattoos&hl=en&client=safari&tbo=d&source=lnms&tbm=isch&ei=u5c1T8L-JfLYiAKRs5ixCg&sa=X&oi=mode_link&ct=mode&cd=2&ved=0CAkQ_AUoAQ&biw=1024&bih=622 HTTP_USER_AGENT:Mozilla/5.0 (iPad; CPU OS 5_0_1 like Mac OS X) AppleWebKit/534.46 (KHTML, like Gecko) Version/5.1 Mobile/9A405 Safari/7534.48.3
不知道这是否重要,但我在IIS中有一条规则,可以防止图像热链接。
谢谢。
几天前,在处理ASP.NET 4.0 Web项目时,我遇到了一个问题。问题是,当用户在评论文本框中输入未编码的HTML内容时,他/她会收到以下错误消息:"从客户端检测到潜在危险的Request.Form值"。
这是因为.NET在输入的文本中检测到类似HTML语句的内容。然后我得到了一个链接请求验证,这是一个保护应用程序跨站点脚本攻击的功能,并相应地进行了跟踪。
为了禁用请求验证,我在.aspx文件中的现有"page"指令中添加了以下内容。
ValidateRequest="false"
但我还是犯了同样的错误。
后来我发现,对于.NET 4,我们需要将requestValidationMode="2.0"添加到web.config文件的httpRuntime配置部分,如下所示:
<httpRuntime requestValidationMode="2.0"/>
但是,如果web.config文件中没有httpRuntime部分,那么它将进入<system.web>部分。
如果有人想关闭全局用户的请求验证,请在节中的web.config文件中执行以下行:
<pages validateRequest="false" />
(来源)
首先,您在这里给出的字符串似乎是在谷歌图像上搜索两个单词(符号纹身),然后到达您的网站。也许这是假的,但这些话与你的网站有关。
99.9%此呼叫不是攻击。
现在,默认情况下,asp.net会处理可能用于脚本注入或在页面上呈现任何内容的每一个输入。但在你熟悉了这个之后,你知道你必须做什么,你可以禁用它。
操作:您可以阅读任何内容,但可以使用HtmlEncode将其写在页面上,如果将其放在URL上,则使用UrlEncode;如果将此输入放在属性上,则为Attribute Encode。如果您在SQL上导入它们,那么也要注意使用参数进行SQL查询。
HotLinking
图片热链接只是检查参考是否来自你的网站,我认为这与这个错误无关。因为这是一个图像搜索,也许是点击这个谷歌图像,谷歌创建了一个脚本来显示上面的这个图像,而这是如何抛出错误的。。。嗯,也许得做…
更新
我发现你给出的链接在这里。这是你的用户从上面的参考资料中看到的。从谷歌铬是不做任何错误。
此链接位于上述参考链接上。
http://www.google.com/search?q=symbolic+纹身&hl=en&client=safari&tbo=d&source=lnms&tbm=isch&ei=u5c1T8L-JfLYiAKRs5ixCg&sa=X&oi=mode_link&ct=模式&cd=2&ved=0AkQ_AUoAQ&biw=1024&bih=622 HTTP_USER_AGENT:Mozilla/5.0(iPad;CPU OS 5_0_1,类似Mac OS X)AppleWebKit/534.46(KHTML,类似Gecko)版本/5.1移动/9A405 Safari/7534.48.3