問題タブ [dangerous-request]

明らかに Web ページに入るユーザー コントロールに WYSIWYG エディターが埋め込まれています。ページを送信すると、「潜在的に危険な Request.Form 値がクライアントから検出されました」という例外が発生します。以前のバージョンの .NET では、ページの ValidateRequest をオフにするだけでした。

ただし、.NET 4.5 では、ValidateRequestMode のプロパティがあるようです。これを無効に設定しても、引き続きエラーが発生します。.NET 4.5 のエラーに関してはまだあまり情報がないので、解決策を知っている人はいますか?

前もって感謝します。

ValidateRequest会社のセキュリティ ポリシーでは、フォーム Web サイトの属性をオフにすることはできません。

潜在的に危険なRequest.Form入力のサイトからエラー レポートを取得しています。

すべてのエラーから、住所フィールドに外国語の文字 (ドイツ語、ウムラウト付きのノルウェー文字など) が含まれていることが危険であることがわかります。

これらの文字がどのように html エンコードされるのか、少し混乱しています。なぜなら、危険な文字の組み合わせはåどちらがö文字であるかに似ているからです。

潜在的に危険な Request.Form 値がクライアントから検出されました (ctl00$ContentPlaceHolder1$tbxDeliveryAddress="...last As B & #229;smosjyen 4 Mo...")

明らかにこれは悪意のあるものではなく、顧客がウムラウトを含むアドレスを入力できるようにする必要があります。顧客が無意識のうちにコピー アンド ペーストでこれを行っているのではないかと考えたので、2 つのラベルと 1 つのテキスト ボックスを使用して実験をセットアップしました。レンダリングされたページでhtmlソースをチェックしましたが、これは動作していました)次に、各ラベルをテキストボックスにコピーして貼り付け、フォームを送信しましたが、どちらもエラーになりませんでした。

そのため、この入力が顧客からどのようにもたらされているかについて混乱しています。å住所を入力するときに、テキスト ボックスに物理的に入力するとは信じがたいです。外国のキーボードがどのように機能するのかよくわからないので、誰かこれに光を当てることができますか?

ValidateRequest属性を明らかにせずに、この悪意のないテキストが .net のこの機能によってキャッチされるのを止めるにはどうすればよいですか? 無邪気に配送先住所を入力しようとする顧客にとっては、本当に苦痛です。

編集

エラー メッセージで、テキストが実際には、textarea html コントロールを生成する複数行のテキスト ボックス フィールドから来ていることに気付きました。この特定のコントロールが html エンコードされたテキストでコンテンツをレンダリングしているのだろうか? これは、エンド ユーザーが実際にこのフィールドを直接編集できないためです。このフィールドは自動的に入力され、個々の行の住所を編集するためのモーダル ポップアップが表示されます。複数行のテキストボックスは、その内容を自動的に html エンコードしますか?

対

Vaadin のセッション管理を使用するこれらの正しい方法はどれですか? Vaadin でのセッションの取得と設定に関するわかりやすいドキュメントが見つかりません。

私の現在の問題: セッション変数を取得しようとすると、nullpointerException が発生し、それを飲み込んで続行しようとしましたが、これにより Vaadin が内破します。

Vaadin セッション (および特定の変数) が設定されているかどうかを確認する安全な方法はありますか?

変数を使用する前に、セッションを初期化する必要がありますか?

より具体的には、ユーザーがログイン画面にリダイレクトされる前に、セッションが存在するかどうかを確認したいと考えています。ユーザーがログインしていない場合、チェックは nullpointerException をスローするため、ログインしていないユーザーは loginForm をロードできません。

質問 @ Vaadin ですべてのセッションを取得する方法は、私の問題とは関係ありません。

もう一つ

は Vaadin を内破させないので、おそらく Java Fail™ を実行しているだけです。</p>

どんな助けでも大歓迎です。