View Full Version : سوال: نحوه برطرف کردم مشکل امنیتی ValidateRequest
mohsen.nsb44
چهارشنبه 24 اسفند 1390, 20:04 عصر
سلام اگه از ادیتور ها استفاده کرده باشین مطلع هستین که در صفحه باید ValidateRequest رو برابر فالس قرار داد
خب اول میخوام بدونم زمانی که ValidateRequest برابر فالس هستش چه خطراتی رو میتونه داشته باشه
بعد اینکه برای جلوگیری از خطرات احتمالی چه باید کرد و چطور باید جلوی بروز خطر را گرفت
mohsen.nsb44
پنج شنبه 25 اسفند 1390, 12:38 عصر
یک مطلب از همین سایت در رابطه با سوالم پیدا کردم
شما زمانی ValidateRequest رو غیر فعال می کنید در معرض خطر حمله xss قرار می گیرید که همان cross site scripting هست با استفاده از این حمله کد های جاوا اسکریپت قابلیت اجرا دارند و اطلاعات بدون تایید اعتبار رد و بدل می شوند
خب حالا برای اینکه نزاریم کد های جاوا اسکریپت اجرا بشوند چه کاری باید کرد؟
ایا ادیتوری وجود دارد که نیازی به غیر فعال کردن ValidateRequest نداشته باشد؟
Mostafa_Dindar
پنج شنبه 25 اسفند 1390, 20:48 عصر
سلام ،
به طور پیش فرض وقتی شما فرمی که حاوی تگ های html ای باشد ، به سرور Submit میکنید ، ASP.NET اون رو یک تهدید میدونه و باعث بروز خطا میشه . پس هنگام ارسال متن حاوی HTML نیاز هست که خاصیت ValidationRequest صفحه را مقدار False دهید .
به زبان ساده با این کار به دات نت میگویید که من میدانم که چیکار میکنم و شما آن را خطا نگیر و مسولیت امنیت آن را شخصا به عهده خواهم گرفت . در این مورد نیاز است که شما داده های ورودی را Encode کنید . خود دات نت کلاسی بنام httpUtility.HtmlEncode() دارد ولی توصیه میشود از Microsoft Web Protection Library (http://wpl.codeplex.com/) استفاده کنید .
موفق باشید
vBulletin® v4.2.5, Copyright ©2000-1404, Jelsoft Enterprises Ltd.