已禁用页面请求验证¶
ID: cs/web/request-validation-disabled
Kind: problem
Security severity: 7.5
Severity: warning
Precision: high
Tags:
- security
- frameworks/asp.net
- external/cwe/cwe-16
Query suites:
- csharp-code-scanning.qls
- csharp-security-extended.qls
- csharp-security-and-quality.qls
请求验证是 ASP.NET 中的一项功能,可保护 Web 应用程序免受请求中潜在恶意内容的攻击,特别是针对跨站点脚本攻击 (XSS)。
建议¶
在 web.config 文件中启用指令 validateRequest:<pages validateRequest="true" />
示例¶
以下示例显示了 ASP.NET 的 Web.config 文件中将 validateRequest 标志设置为 false。这将禁用验证,并使 Web 应用程序容易受到常见的 XSS 攻击
<configuration>
<system.web>
<pages validateRequest="false" />
</system.web>
</configuration>
如果将 validateRequest 设置为 true,则启用验证
<configuration>
<system.web>
<pages validateRequest="true" />
</system.web>
</configuration>
参考¶
MSDN: ASP.NET 中的请求验证 。
常见漏洞枚举:CWE-16。