我正在使用网络表单
我正在对我的网站进行安全测试,但是当我尝试传递 url 时,查询字符串如下:
'"-->netsparker(0x00286A)
mysite/Error/PageNotFound.aspx?aspxerrorpath=%27%22--%3E%3C/style%3E%3C/script%3E%3Cscript%3Enetsparker(0x0030C5)%3C/script%3E
我在“/”应用程序中遇到服务器错误。
检测到潜在危险的 Request.QueryString 值
客户端 从客户端 (>) 检测到潜在危险的 Request.Path 值。
我在 web.config 中有
<httpRuntime enableVersionHeader="false"/>
<customErrors mode="On" defaultRedirect="~/Error/GeneralError.aspx">
<error statusCode="404" redirect="~/Error/PageNotFound.aspx" />
<error statusCode="403" redirect="~/Error/GeneralError.aspx" />
<error statusCode="500" redirect="~/Error/GeneralError.aspx" />
</customErrors>
..................
<pages controlRenderingCompatibilityVersion="4.0" viewStateEncryptionMode="Always">
知道我该如何纠正吗?
您的错误是由于违反了 ASP 平台内置的安全规则。这些规则可防止注入和跨站点脚本攻击。如果您使用 MVC,有一个方便的 AntiForgeryToken 可以为您处理这个问题。
请查看 Scot Hanselman 的帖子
http://www.hanselman.com/blog/ExperimentsInWackinessAllowingPercentsAnglebracketsAndOtherNaughtyThingsInTheASPNETIISRequestURL.aspx
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)