ASP.NET的validaterequest屬性

不知道大家之前有沒有注意到這個屬性,這里我們來一起討論一下這個屬性的作用以及我們以后到底該怎樣使用它!

我們先來了解一下這個屬性:(注:本屬性在.net 2.0中是新增的!)
1.它所在的命名空間:System.Web.Configuration
2.程序集:System.Web（在 system.web.dll 中）
3.所在的類:pagesSection

上面我大體了解了一下這個屬性,下面我們在具體的分析一下該屬性,這個屬性是用來驗證客戶端用戶的輸入的,用來驗證用戶的輸入中是否有危險字符的,這個屬性的默認(rèn)值為true,微軟之所以這么做是為了提高ASP.NET程序的安全性，所以很多程序員即使不知道怎么來防御黑客的攻擊,ASP.NET的一些默認(rèn)屬性等內(nèi)容已經(jīng)對安全進行了控制,這也是為什么ASP.NET的程序相對來說比較安全的原因!

既然這個屬性的默認(rèn)值為true,而且ASP.NET頁面的回發(fā)又很頻繁,那么如果沒有用戶的交互的地方,這樣ASP.NET 豈不是每次都要去嚴(yán)整呢,這樣也是有可能會來回的損耗系統(tǒng)的執(zhí)行時間的,至于:如果沒有客戶端的交互的話,到底ASP.NET會不會去驗證這是微軟的工程師的問題了,對于我們來說,如果沒有客戶端交互的地方,我感覺是應(yīng)該將此屬性設(shè)置為 false的,這樣的話無論 微軟的工程師怎樣設(shè)計,對我們程序的本身是沒有任何影響的!

但是當(dāng)需要跟用戶交互的地方,我們就要用它的默認(rèn)值了,可是事情可能并沒有我們想象的那么簡單,也沒有那么完美,當(dāng)用戶在使用一些html編輯器的時候,自己本身提交的字符里就有等這樣的字符,這樣就要求程序員必須要關(guān)閉validaterequest屬性,這個時候我們又該怎樣的來控制ASP.NET頁面的安全性能呢?

當(dāng)然了,這個地方我們可以來對一切危險字符進行過濾,這樣可能提高一些安全性,但是我們防止用戶的輸入可能考慮的會有遺漏,這樣就導(dǎo)致了安全還會是有問題的,我們可以反過來考慮我們到底需要提交多少特殊字符,然后對我們提交的特殊字符進行轉(zhuǎn)義或替換,這樣我們就又可以將 validaterequest屬性設(shè)置為true了,這樣既解決了程序的安全問題又滿足了我們的需求!

有時候在與用戶進行交互的時候,用戶難免的會有輸入特殊字符的時候,因為我們設(shè)置的validaterequest 的值為true所以頁面會不給任何提示的前提下， 直接輸出一大頁的錯誤信息，這樣可能就導(dǎo)致了用戶的誤解,他們可能認(rèn)為是我們網(wǎng)站出了問題,用戶不可能會想到他輸入了非法的字符!

對于這種情況我們又該怎么辦呢?

幸好微軟的工程師們在page里又給出了一個Page_Error的處理事件,這樣我們就可以用它來進行異常的捕獲了

代碼如下:

protectedvoidPage_Error(objectsender,EventArgse)  
{  
Exceptionex=Server.GetLastError();  
if(exisHttpRequestValidationException)  
{  
Response.Write("您輸入的字符中有非法字符!");  
Server.ClearError();  
}  
} 

【編輯推薦】

1. ASP.NET頁面顯示XML數(shù)據(jù)
2. 了解什么是IFRAME ASP.NET
3. ASP.NET生命周期的展示
4. 解決ASP.NET AJAX腳本的錯誤問題
5. 詳解ASP.NET應(yīng)用程序