首页
学习
活动
专区
圈层
工具
发布
首页
学习
活动
专区
圈层
工具
MCP广场
社区首页 >专栏 >请慎用ASP.Net的validateRequest=”false”属性

请慎用ASP.Net的validateRequest=”false”属性

作者头像
全栈程序员站长
发布于 2022-06-28 07:35:21
发布于 2022-06-28 07:35:21
5730
举报

大家好,又见面了,我是你们的朋友全栈君。

阅读全文下载代码:http://www.cckan.net/forum.php?mod=viewthread&tid=74

在客户端的文体框里输入“<任何字符>例如<user>”等字符的时候为出现这样的错误

序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。

异常详细信息: System.Web.HttpRequestValidationException: 从客户端(txtName=”<fd>”)中检测到有潜在危险的 Request.Form 值。

这是没有设置<pages validateRequest =”true”>这个属性这是默认的,当我们改为false的时候这样的错误就不会出现了,但是我们不能只是这样改,这样虽说是没有错了, 但是你有没有想过程序也就不安全了啊,

正确的做法是在你当前页面添加Page_Error()函数,来捕获所有页面处理过程中发生的而没有处理的异常。然后给用户一个合法的报错信息。如果当前页面没有Page_Error(),这个异常将会送到Global.asax的Application_Error()来处理,你也可以在那里写通用的异常报错处理函数。如果两个地方都没有写异常处理函数,才会显示这个默认的报错页面呢。 protected void Page_Error(object sender, EventArgs e) { Exception ex = Server.GetLastError(); if (ex is HttpRequestValidationException) { Response.Write(“请不要输入这样的字符,呵呵“);

Server.ClearError(); // 如果不ClearError()这个异常会继续传到Application_Error()。 } }

这是ASP.Net提供的一个很重要的安全特性。因为很多程序员对安全没有概念,甚至都不知道XSS这种攻击的存在,知道主动去防护的就更少了。ASP.Net在这一点上做到默认安全。这样让对安全不是很了解的程序员依旧可以写出有一定安全防护能力的网站。

  但是,当我Google搜索 HttpRequestValidationException 或者 “A potentially dangerous Request.Form value was detected from the client”的时候,惊奇的发现大部分人给出的解决方案竟然是在ASP.Net页面描述中通过设置 validateRequest=false 来禁用这个特性,而不去关心那个程序员的网站是否真的不需要这个特性。看得我这叫一个胆战心惊。安全意识应该时时刻刻在每一个程序员的心里,不管你对安全的概念了解多少,一个主动的意识在脑子里,你的站点就会安全很多。

  为什么很多程序员想要禁止 validateRequest 呢?有一部分是真的需要用户输入”<>”之类的字符。这就不必说了。还有一部分其实并不是用户允许输入那些容易引起XSS的字符,而是讨厌这种报错的形式,毕竟一大段英文加上一个ASP.Net典型异常错误信息,显得这个站点出错了,而不是用户输入了非法的字符,可是自己又不知道怎么不让它报错,自己来处理报错。

  对于希望很好的处理这个错误信息,而不使用默认ASP.Net异常报错信息的程序员们,你们不要禁用validateRequest=false。

例子 http://www.cckan.net/forum.php?mod=viewthread&tid=73

发布者:全栈程序员栈长,转载请注明出处:https://javaforall.cn/132849.html原文链接:https://javaforall.cn

本文参与 腾讯云自媒体同步曝光计划,分享自作者个人站点/博客。
原始发表:2022年6月1,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 作者个人站点/博客 前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
暂无评论
推荐阅读
编辑精选文章
换一批
NeurIPS2021 港大&腾讯AI Lab&牛津提出:CARE,让CNN和Transformer能在对比学习中“互帮互助”!
本文分享NeurIPS 2021 论文『Revitalizing CNN Attentions via Transformers in Self-Supervised Visual Representation Learning』,由港大&腾讯AI Lab&牛津大学联合提出 CARE,让 CNN 和 Transformer 能在对比学习中“互帮互助”!
CV君
2021/11/10
5060
NeurIPS2021 港大&腾讯AI Lab&牛津提出:CARE,让CNN和Transformer能在对比学习中“互帮互助”!
7 Papers & Radios | ICCV 2021获奖论文,MIT华人团队解决持续70年的数学难题
机器之心 & ArXiv Weekly Radiostation 参与:杜伟、楚航、罗若天 本周论文主要包括ICCV 2021获奖论文等研究。 目录: Revitalizing CNN Attentions via Transformers in Self-Supervised Visual Representation Learning  Pixel-Perfect Structure-from-Motion with Featuremetric Refinement  Deep Neural Netwo
机器之心
2023/03/29
4260
7 Papers & Radios | ICCV 2021获奖论文,MIT华人团队解决持续70年的数学难题
CPVR2020|无监督视觉表征学习中的动量对比
今天给大家介绍的是何凯明等人在CVPR2020上发表的文章MomentumContrast for Unsupervised Visual Representation Learning。如果从字典查找的角度看对比学习,那么这篇文章提出了动量对比(Moco)的方法,就是利用队列和移动平均编码器构建出动态字典进行查找。这就能够动态地构建一个大而一致的字典,从而增强无监督对比学习。实验结果表明Moco学习到的表征能够很好地用到下游任务中。Moco在7个检测/分割任务中超过了其他通过有监督预训练模型的结果。这表明在许多视觉任务中,无监督和有监督的表征学习之间的差距已经基本上被缩小了。
智能生信
2021/02/04
1.3K0
百度飞桨半监督学习目标定位竞赛冠军方案分享
监督学习模型的优异性能要以大量标注数据作为支撑,可现实中获得数量可观的标注数据十分耗费人力物力。于是,半监督学习逐渐成为深度学习领域的热门研究方向,只需要少量标注数据就可以完成模型训练过程,更适用于现实场景中的各种任务。
用户1386409
2021/09/27
6040
PANet、DANet、FastFCN、OneFormer…你都掌握了吗?一文总结图像分割必备经典模型(三)
 机器之心专栏 本专栏由机器之心SOTA!模型资源站出品,每周日于机器之心公众号持续更新。 本专栏将逐一盘点自然语言处理、计算机视觉等领域下的常见任务,并对在这些任务上取得过 SOTA 的经典模型逐一详解。前往 SOTA!模型资源站(sota.jiqizhixin.com)即可获取本文中包含的模型实现代码、预训练模型及 API 等资源。 本文将分 3 期进行连载,共介绍 19 个在图像分割任务上曾取得 SOTA 的经典模型。 第 1 期:FCN、ReSeg、U-Net、ParseNet、DeepMask、S
机器之心
2023/05/22
2.3K0
PANet、DANet、FastFCN、OneFormer…你都掌握了吗?一文总结图像分割必备经典模型(三)
何恺明一作,刷新7项检测分割任务,无监督预训练完胜有监督
论文链接:https://arxiv.org/pdf/1911.05722.pdf
机器之心
2019/11/15
7440
何恺明一作,刷新7项检测分割任务,无监督预训练完胜有监督
POA:已开源,蚂蚁集团提出同时预训练多种尺寸网络的自监督范式 | ECCV 2024
论文: POA: Pre-training Once for Models of All Sizes
VincentLee
2024/08/30
1580
POA:已开源,蚂蚁集团提出同时预训练多种尺寸网络的自监督范式 | ECCV 2024
12种模态,一个学习框架,Meta-Transformer实现骨干网络大一统
在迈向通用人工智能(AGI)的诸多可能的方向中,发展多模态大模型(MLLM)已然成为当前炙手可热的重要路径。在 GPT4 对图文理解的冲击下,更多模态的理解成为学术界关注的焦点,通感时代真要来了吗?
机器之心
2023/08/08
4590
12种模态,一个学习框架,Meta-Transformer实现骨干网络大一统
稠密检索新突破:华为提出掩码自编码预训练模型,大幅刷新多项基准
稠密检索是搜索、推荐、广告等领域的关键性技术;面向稠密检索的预训练是业界高度重视的研究课题。近期,华为泊松实验室联合北京邮电大学、华为昇思 MindSpore 团队提出“基于掩码自编码器的检索预训练语言模型 RetroMAE”,大幅刷新稠密检索领域的多项重要基准。而其预训练任务的简洁性与有效性,也为下一步技术的发展开辟了全新的思路。该工作已录用于自然语言处理领域顶级学术会议 EMNLP 2022。基于昇思开源学习框架的模型与源代码已向社区开放。
机器之心
2022/12/16
8050
稠密检索新突破:华为提出掩码自编码预训练模型,大幅刷新多项基准
【开源】Transformer 在CV领域全面开花:新出跟踪、分割、配准等总结
本文收录 5 月 以来值得关注的 Transformer 相关开源论文,包括基于 Transformer 的自监督学习方法在 CV 任务中应用、视觉跟踪、视频预测、语义分割、图像配准,以及 1 篇针对 Transformer 风格的网络中,“attention layer”是否是必要的技术报告。
CV君
2021/06/08
1.2K0
【开源】Transformer 在CV领域全面开花:新出跟踪、分割、配准等总结
Transformer时间序列预测!
【导读】大家好,我是泳鱼。一个乐于探索和分享AI知识的码农!今天带来的这篇文章,提出了一种基于Transformer的用于长期时间序列预测的新方法PatchTST,取得了非常显著的效果。希望这篇文章能对你有所帮助,让你在学习和应用AI技术的道路上更进一步!
算法进阶
2023/08/28
1.9K1
Transformer时间序列预测!
计算机视觉中的Transformer
将Transformer应用到CV任务中现在越来越多了,这里整理了一些相关的进展给大家。
小白学视觉
2021/01/20
1.3K0
一文读懂对比学习在CV进展
对比学习在计算机视觉的发展历程大概分为四个阶段(1)百花齐放:有InstDisc(Instance Discrimination)、CPC、CMC代表工作。在这个阶段方法模型都还没有统一,目标函数也没有统一,代理任务也没有统一,所以是一个百花齐放的时代。(2)CV双雄:这个阶段的代表工作就是MoCo v1、SimCLR v1、MoCo v2、SimCLR v2以及还有CPC CMC它们的延伸工作,还有SwAV。(3)不用负样本:这个阶段主要就是BYOL这个方法以及它后续的一些改进,最后SimSiam出现,把所有方法归纳总结了一下,都融入到了SImSiam这个框架之中,算是卷积神经网络做对比学习的一个总结性的工作。(4)Transformer:这里会提到MoCo v3和Dino。
CristianoC
2022/11/18
1.8K0
一文读懂对比学习在CV进展
自监督学习之对比学习
自监督学习主要是利用辅助任务(pretext)从大规模的无监督数据中挖掘自身的监督信息,通过这种构造的监督信息对网络进行训练,从而可以学习到对下游任务有价值的表征。(也就是说自监督学习的监督信息不是人工标注的,而是算法在大规模无监督数据中自动构造监督信息,来进行监督学习或训练。因此,大多数时候,我们称之为无监督预训练方法或无监督学习方法,严格上讲,他应该叫自监督学习)。
全栈程序员站长
2022/10/05
1.2K0
自监督学习之对比学习
视觉骨干网络VAN 背后的故事
7月28日,清华大学计图团队和南开大学程明明教授团队合作,在CVMJ上在线发表一篇关于视觉骨干网络的论文Visual Attention Network,介绍了一种新型的注意力机制大核注意力机制(LKA)和新的骨干网络 VAN。该网络在图像分类、目标检测、语义分割和姿态估计等任务上均取得了优异的效果。该论文已2022年2月在ArXiv上发布,目前该文章的Google scholar的引用次数已达215次。
AIWalker
2023/09/03
5930
视觉骨干网络VAN 背后的故事
最新最全 | 视觉 Transformer 综述
快卷起来!还怕改进想不到idea吗?中国科学院、东南大学等单位联合发表最新的视觉 Transformer 综述。综述涵盖三种基本 CV 任务(分类、检测和分割)的一百多种不同的视觉 Transformer,最新模型截止至今年8月!同时,综述还包括了大量的实证分析、性能改进分析,并披露了三个具有广阔前景的未来研究方向!
公众号机器学习与AI生成创作
2021/12/02
1.1K0
最新最全 | 视觉 Transformer 综述
Swin Transformer为主干,清华等提出MoBY自监督学习方法,代码已开源
近两年来,计算机视觉领域经历了两次重大转变,第一次是由 MoCo(Momentum Contrast)开创的自监督视觉表征学习,其预训练模型经过微调可以迁移到不同的任务上;第二次是基于 Transformer 的主干架构,近年来在自然语言处理中取得巨大成功的 Transformer 又在计算机视觉领域得到了探索,进而产生了从 CNN 到 Transformer 的建模转变。
深度学习技术前沿公众号博主
2021/07/14
7240
Swin Transformer为主干,清华等提出MoBY自监督学习方法,代码已开源
华中科技提出 PersonViT | 利用 Mask 图像建模的视觉 Transformer 提升人重识别性能 !
人重识别(ReID)旨在从人类图像中学习视觉特征,能够区分不同的个体身份。这是一个重要且具有挑战性的计算机视觉问题,需要克服严重的遮挡、外观变化、形状变化和视点变化。人重识别技术能够在无接触和不合作的情况下实现跨摄像头检索行人,并广泛应用于公共安全、视频监控等领域,具有显著的应用价值。
未来先知
2024/08/29
4900
华中科技提出 PersonViT |  利用 Mask 图像建模的视觉 Transformer 提升人重识别性能 !
ICCV2023-AlignDet:在各种检测器的所有模块实现无监督预训练
大规模预训练后再进行下游微调的方法已经被广泛地应用于各种目标检测算法中。在本文中,我们揭示了目前实践中预训练和微调过程之间存在的数据、模型和任务方面的差异,这些差异隐式地限制了检测器的性能、泛化能力和收敛速度。为此,我们提出了AlignDet方法,这是一个通用的预训练框架,可以适配各种现有检测器,以减轻这些差异。AlignDet将预训练过程分解为两个阶段,即图像域预训练阶段和框域预训练阶段。图像域预训练优化检测骨干网络以捕获整体的视觉抽象,框域预训练学习实例级语义和任务感知概念以初始化骨干网络之外的部分。通过融合自监督预训练的骨干网络,可以实现在各种检测器中所有模块进行无监督预训练。如图1所示,大量实验表明,AlignDet可以实现对各种协议进行显著改进,如检测算法、模型骨干网络、数据设置和训练计划。例如,在更少的训练轮数下,AlignDet分别为FCOS提高了5.3 mAP,RetinaNet提高了2.1 mAP,Faster R-CNN提高了3.3 mAP,DETR提高了2.3 mAP。
BBuf
2023/08/22
5300
ICCV2023-AlignDet:在各种检测器的所有模块实现无监督预训练
华为诺亚调研200多篇文献,视觉Transformer综述入选TPAMI 2022
机器之心专栏 华为诺亚方舟实验室 华为诺亚方舟实验室联合北大和悉大整理了业界第一篇视觉Transformer综述。 2021 年对计算机视觉来说是非常重要的一年,各个任务的 SOTA 不断被刷新。这么多种 Vision Transformer 模型,到底该选哪一个?新手入坑该选哪个方向?华为诺亚方舟实验室的这一篇综述或许能给大家带来帮助。 综述论文链接:https://ieeexplore.ieee.org/document/9716741/ 诺亚开源模型:https://github.com/huawe
机器之心
2022/03/04
4870
推荐阅读
NeurIPS2021 港大&腾讯AI Lab&牛津提出:CARE,让CNN和Transformer能在对比学习中“互帮互助”!
5060
7 Papers & Radios | ICCV 2021获奖论文,MIT华人团队解决持续70年的数学难题
4260
CPVR2020|无监督视觉表征学习中的动量对比
1.3K0
百度飞桨半监督学习目标定位竞赛冠军方案分享
6040
PANet、DANet、FastFCN、OneFormer…你都掌握了吗?一文总结图像分割必备经典模型(三)
2.3K0
何恺明一作,刷新7项检测分割任务,无监督预训练完胜有监督
7440
POA:已开源,蚂蚁集团提出同时预训练多种尺寸网络的自监督范式 | ECCV 2024
1580
12种模态,一个学习框架,Meta-Transformer实现骨干网络大一统
4590
稠密检索新突破:华为提出掩码自编码预训练模型,大幅刷新多项基准
8050
【开源】Transformer 在CV领域全面开花:新出跟踪、分割、配准等总结
1.2K0
Transformer时间序列预测!
1.9K1
计算机视觉中的Transformer
1.3K0
一文读懂对比学习在CV进展
1.8K0
自监督学习之对比学习
1.2K0
视觉骨干网络VAN 背后的故事
5930
最新最全 | 视觉 Transformer 综述
1.1K0
Swin Transformer为主干,清华等提出MoBY自监督学习方法,代码已开源
7240
华中科技提出 PersonViT | 利用 Mask 图像建模的视觉 Transformer 提升人重识别性能 !
4900
ICCV2023-AlignDet:在各种检测器的所有模块实现无监督预训练
5300
华为诺亚调研200多篇文献,视觉Transformer综述入选TPAMI 2022
4870
相关推荐
NeurIPS2021 港大&腾讯AI Lab&牛津提出:CARE,让CNN和Transformer能在对比学习中“互帮互助”!
更多 >
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档