我的服务器抛出了这样的错误。我想某种攻击是危险的地方。我有IIS7,Windows Server 2012。
System.Web.HttpRequestValidationException(0x80004005):从客户端检测到一个潜在危险的Request.RawUrl值(=“ ...?return =”> <img + src%3D ... ”)。
在System.Web.HttpRequest.ValidateString(字符串值,字符串collectionKey,RequestValidationSource requestCollection)
在System.Web.HttpRequest.get_RawUrl()
在System.Web.UI.Page.ValidateRawUrlIfRequired()
在System.Web.UI.Page.ProcessRequestMain处(布尔includeStagesBeforeAsyncPoint,布尔includeStagesAfterAsyncPoint)
在System.Web.UI.Page.ProcessRequest处(布尔includeStagesBeforeAsyncPoint,布尔includeStagesAfterAsyncPoint)
在System.Web.UI.Page.ProcessRequest()
在System.Web.UI.Page.ProcessRequest(HttpContext上下文)
在System.Web.HttpApplication.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute()
在System.Web.HttpApplication.ExecuteStepImpl(IExecutionStep步骤)
在System.Web.HttpApplication.ExecuteStep(IExecutionStep步骤,布尔值和完成同步)
</code> </pre>
</div>
<div class="answer-list">
<h4>1 个答案:</h4>
<div class="hr-line-dashed"></div>
<p>答案 0 :(得分:0)</p>
<div class="answer markdown-body">
<p>基本上,这是跨站点脚本攻击(XSS)的警告:<a href="https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)" rel="nofollow noreferrer">https://www.owasp.org/index.php/Cross-site_Scripting_(XSS)</a> </p>
<p>这意味着有人试图使用查询字符串将有效的HTML注入您的网页。如果将您的Web服务器编程为随后将其显示在其他地方(例如论坛等),则会打开攻击媒介。您网站的其他访问用户可能会执行攻击者注入的JavaScript代码。</p>
<p>为防止这种情况,默认情况下,ASP.NET不允许某些内容出现在查询字符串中,尤其是类似于有效HTML的任何内容。这可能是由于您网站上某处的输入字段无法正确转义HTML字符引起的,或者某人只是在试图攻击您的网站。无论哪种方式,请确保始终在服务器或客户端(或两者)上始终正确地转义用户控制的输入。</p>
<p>如果您认为您的安全性还可以,那么您可以忽略此错误,因为它基本上是您无法控制的。 ASP.NET只是检测到攻击并将其阻止。</p>
</div>
</div>
</div>
<div class="right">
<div style="height:400px">
<script async src="https://pagead2.googlesyndication.com/pagead/js/adsbygoogle.js"></script>
<ins class="adsbygoogle" style="display:block" data-ad-client="ca-pub-6263610230477973" data-ad-slot="2820756182"
data-ad-format="auto" data-full-width-responsive="true"></ins>
<script>
(adsbygoogle = window.adsbygoogle || []).push({});
</script>
</div>
<div style="height:20px"></div>
<div class="releated-question-wrapper">
<div class="header">
相关问题
</div>
<div class="hr-line-dashed"></div>
<ul>
<li>
<a href="/q/726751">这是什么类型的文件?</a>
</li>
<li>
<a href="/q/1097123">这是什么算法?</a>
</li>
<li>
<a href="/q/1304089">这是什么样的排序?</a>
</li>
<li>
<a href="/q/1798633">在img src属性中使用javascript进行XSS攻击</a>
</li>
<li>
<a href="/q/31532972">这是什么样的图表?</a>
</li>
<li>
<a href="/q/32276501">这是什么类型的查询?</a>
</li>
<li>
<a href="/q/32611600">那是什么样的回报?</a>
</li>
<li>
<a href="/q/35660486">这是什么样的宣言者?</a>
</li>
<li>
<a href="/q/39977610">这个攻击向量是什么?</a>
</li>
<li>
<a href="/q/55814752">这是什么类型的攻击:(=“ ...?return =”> <noembed> <img + src%3D ...“)</a>
</li>
</ul>
</div>
<div class="releated-question-wrapper">
<div class="header">
最新问题
</div>
<div class="hr-line-dashed"></div>
<ul>
<li>
<a href="/q/68614764">我写了这段代码,但我无法理解我的错误</a>
</li>
<li>
<a href="/q/68614678">我无法从一个代码实例的列表中删除 None 值,但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场?</a>
</li>
<li>
<a href="/q/68614175">是否有可能使 loadstring 不可能等于打印?卢阿</a>
</li>
<li>
<a href="/q/68614313">java中的random.expovariate()</a>
</li>
<li>
<a href="/q/68614125">Appscript 通过会议在 Google 日历中发送电子邮件和创建活动</a>
</li>
<li>
<a href="/q/68615109">为什么我的 Onclick 箭头功能在 React 中不起作用?</a>
</li>
<li>
<a href="/q/68615123">在此代码中是否有使用“this”的替代方法?</a>
</li>
<li>
<a href="/q/68614097">在 SQL Server 和 PostgreSQL 上查询,我如何从第一个表获得第二个表的可视化</a>
</li>
<li>
<a href="/q/68614427">每千个数字得到</a>
</li>
<li>
<a href="/q/68615239">更新了城市边界 KML 文件的来源?</a>
</li>
</ul>
</div>
<div class="">
</div>
</div>
</div>
<div>
<script>
var host = window.location.host;
if (host == "www.thinbug.com") {
(function () {
var bp = document.createElement('script');
var curProtocol = window.location.protocol.split(':')[0];
if (curProtocol === 'https') {
bp.src = 'https://zz.bdstatic.com/linksubmit/push.js';
}
else {
bp.src = 'http://push.zhanzhang.baidu.com/push.js';
}
var s = document.getElementsByTagName("script")[0];
s.parentNode.insertBefore(bp, s);
})();
}
</script>
</body>
</html>