HTML-Block fehlt in gerenderter Ausgabe

9

Ich verwalte eine .NET Webforms Seite, die ein seltsames Problem hatte, bevor ich hier gearbeitet habe. Hin und wieder wirft es eine System.Web.HttpException: Ein potenziell gefährlicher Request.Path-Wert wurde von der Client (:) Fehler-E-Mail entdeckt.

Der Fehler kommt von zufälligen Teilen zufälliger Seiten innerhalb der Site und der letzte, den ich bemerkt habe, hatte diesen Eintrag gegen das CGI script_name:

%Vor%

Wenn Sie sich den gerenderten Code für die Seite ansehen, sieht es so aus, als wäre ein Paket in der Nähe des Kopfes der Antwort abgelegt worden und schneidet das Ende des src-Teils eines Skript-Tags bis zum Ende eines Inline-Stilblocks ab / p> %Vor%

So dass es schlängelt ein chnk aus der Mitte zB:

%Vor%

Ich habe in der Vergangenheit gesehen, wie Paket-Drops mit Bildern und entladenen CSS-Dateien Spaß machten, aber ich habe noch nie gesehen, wie sie Bits aus dem gerenderten Seiteninhalt herausgeschnitten haben. Ich habe das Problem ziemlich gegoogelt, aber habe nichts Ähnliches gefunden, also bin ich mir nicht sicher, ob ich überhaupt nach dem richtigen Problem suche.

Das Problem hat in den letzten fünf Monaten nur 22 Mal auf einem ziemlich viel genutzten System gefeuert, aber es passiert wahrscheinlich häufiger als das, da wir nur einen Fehler sehen, wenn ein Anruf zurück zum Server mit Charakteren geboxt wurde unsicher durch den Anforderungsvalidator.

Also ja, ich frage mich nur, ob irgendjemand Ideen dazu hat, was ich tun oder suchen kann, um das zu lösen? :)

Dieses Verhalten wurde in IIS7 / Win2k8 beobachtet. Es wurde Berichten zufolge auch in IIS8 / Win2k12 und IIS8 / Win8.1 beobachtet. Ich habe in IIS6 / Win2k3 keine Beweise dafür gefunden. Es wurde zuletzt von zwei verschiedenen Kunden um November 2013 gemeldet. In beiden Serverumgebungen war VisualStudio nicht installiert. .NET Framework 2.0, 3.5 und 4.5 [1?] Wurden in beiden Serverumgebungen installiert.

Ich habe Protokolle und vollständige Spezifikationen von beiden Kunden angefordert, und einer von ihnen hat geantwortet und bestätigt, dass das Problem nicht mehr auftritt. Daher vermute ich, dass entweder ein Update oder Hotfix von Msft es angesprochen hat, dass es netzwerkbezogen war und behoben wurde, oder dass Cthulhu sich dafür entschieden hat, jemanden zu quälen. Der andere Kunde hat noch nicht geantwortet.

Sicher muss jemand anderes außer dem OP und diesen Kunden dieses Verhalten gesehen haben? Es wäre schön, eine definitive Antwort zu finden und dieses Problem wenn möglich mit einer bekannten Lösung zu verbinden. (Und Sie bekommen eine süße 200 Punkte .. yay!)

    
aegis 20.09.2013, 01:24
quelle

3 Antworten

0

Hat Ihre Anfrage URL *, Dies kann zu einer solchen Situation führen.

**

%Vor%

**

Sie können dies zu Ihrer Webkonfiguration hinzufügen, um es richtig zu machen

    
Sanu Antony 31.10.2014 05:41
quelle
0

Es könnte das Problem des Datei-Uploaders sein, das nicht gut verwaltet wurde.

Und andere potenziell gefährliche Anfragen können auftreten, wenn Sie einen Editor zum Hochladen von Inhalten verwenden. Sie müssen verwalten, wenn dies das Szenario ist. Sie können die Überprüfung auf der Seite deaktivieren, auf der Sie den Editor verwenden. Sie können den Validierungsmodus in web.config wie folgt beschreiben.

    
Addy 24.11.2014 07:11
quelle
-2

Hinzufügen

<pages validateRequest="false"/>

in web.config.

    
Atish Singh 19.12.2014 11:49
quelle

Tags und Links