A potentially dangerous Request.Form detected - Ingen tags i inpu

kan du bruge denne her til noget (der er links til nogle udemærkede steder) ?
http://blogs.madtechnology.net/chris/archive/2004/03/20/366.aspx
mvh

>snepnet

Tak for linket, men det gav ikke svar på mit spørgsmål. Det er kun endnu flere sider der siger at man kan slå valideringen fra, og man man så selv skal passe på XSS.

Jeg mangler stadig at vide hvad, udover < og >, der beskyttes imod.

Om en given string er "farlig" synes at blive undersøgt sådan her :

internal static bool IsDangerousString(string s, out int matchIndex)
{
      int num2;
      matchIndex = 0;
      int num1 = 0;
Label_0005:
      num2 = s.IndexOfAny(CrossSiteScriptingValidation.startingChars, num1);
      if (num2 < 0)
      {
            return false;
      }
      if (num2 == (s.Length - 1))
      {
            return false;
      }
      matchIndex = num2;
      char ch1 = s[num2];
      if (ch1 <= 'O')
      {
            if (ch1 <= '<')
            {
                  if (ch1 == '&')
                  {
                        if (s[num2 + 1] == '#')
                        {
                              return true;
                        }
                        goto Label_00BE;
                  }
                  if ((ch1 == '<') && (CrossSiteScriptingValidation.IsAtoZ(s[num2 + 1]) || (s[num2 + 1] == '!')))
                  {
                        return true;
                  }
                  goto Label_00BE;
            }
            if (ch1 == 'E')
            {
                  goto Label_00B3;
            }
            if (ch1 == 'O')
            {
                  goto Label_009D;
            }
            goto Label_00BE;
      }
      if (ch1 <= 'e')
      {
            if (ch1 == 'S')
            {
                  goto Label_00A8;
            }
            if (ch1 == 'e')
            {
                  goto Label_00B3;
            }
            goto Label_00BE;
      }
      if (ch1 != 'o')
      {
            if (ch1 == 's')
            {
                  goto Label_00A8;
            }
            goto Label_00BE;
      }
Label_009D:
      if (CrossSiteScriptingValidation.IsDangerousOnString(s, num2))
      {
            return true;
      }
      goto Label_00BE;
Label_00A8:
      if (CrossSiteScriptingValidation.IsDangerousScriptString(s, num2))
      {
            return true;
      }
      goto Label_00BE;
Label_00B3:
      if (CrossSiteScriptingValidation.IsDangerousExpressionString(s, num2))
      {
            return true;
      }
Label_00BE:
      num1 = num2 + 1;
      goto Label_0005;
}

og det ser ud til at den kaldes fra HttpRequest.ValidateString(...)

private void ValidateString(string s, string valueName, string collectionName)
{
      s = this.RemoveNullCharacters(s);
      int num1 = 0;
      if (CrossSiteScriptingValidation.IsDangerousString(s, out num1))
      {
            string text1 = valueName + "=\"";
            int num2 = num1 - 10;
            if (num2 <= 0)
            {
                  num2 = 0;
            }
            else
            {
                  text1 = text1 + "...";
            }
            int num3 = num1 + 20;
            if (num3 >= s.Length)
            {
                  num3 = s.Length;
                  text1 = text1 + s.Substring(num2, num3 - num2) + "\"";
            }
            else
            {
                  text1 = text1 + s.Substring(num2, num3 - num2) + "...\"";
            }
            throw new HttpRequestValidationException(HttpRuntime.FormatResourceString("Dangerous_input_detected", collectionName, text1));
      }
}

en af de links der var i det jeg sendte før linkede til denne :

http://weblogs.asp.net/vga/archive/2003/05/02/6329.aspx

som beskriver lidt om hvad der valideres, og metoden til at validere collections ser ud til at være som følger :

private void ValidateNameValueCollection(NameValueCollection nvc, string collectionName)
{
      int num1 = nvc.Count;
      for (int num2 = 0; num2 < num1; num2++)
      {
            string text1 = nvc.GetKey(num2);
            if (text1 != "__VIEWSTATE")
            {
                  string text2 = nvc.Get(num2);
                  if ((text2 != null) && (text2.Length > 0))
                  {
                        this.ValidateString(text2, text1, collectionName);
                  }
            }
      }
}

jeg ved ikke om du kan få noget ud af det, men det kan jo være at der er et eller andet der springer dig i øjnene som relevant.

mvh

>snepnet:
Tak for at lede opmærksomheden hen på Reflector. Det skulle dog nogle flere forsøg til at finde problemet.

Klassen System.Web.CrossSiteScriptingValidation er internal, så jeg kan ikke bruge den i et test-script.

Jeg har hentet en Lutz Roeder's .NET Reflector til at decompile med herfra:
http://www.aisto.com/roeder/dotnet/

Med den har jeg trukket koden ud for System.Web.CrossSiteScriptingValidation, og pasted den ind i et projekt, så jeg kunne teste forskellige strings.

Det viser sig at den søger efter følgende startingChars:
startingChars = new char[8] { '<', '&', 'o', 'O', 's', 'S', 'e', 'E' } ;

i IsDangerousScriptString leder den efter:    "script"
i IsDangerousOnString leder den efter:        "onXXX="  (ex onLoad=)
i IsDangerousExpressionString leder den efter: "expression("

Konklusionen er at den farlige del af min string er: "ONZg="
Den tror jeg vil lave en script-event på "on Zg", som den mener er ulovligt.

Da værdien kommer fra en krypteret bytestream der er base64 encoded, ser jeg ingen pæn løsning på mit problem, men jeg finder nok på noget.

Dette gælder for .NET v1.1 . Der er lavet noget om på validateren i .Net v2.0beta2, så den ser ikke min string som farlig. Men den tid, den tid.


>snepnet
Smid et svar, så får du halvdelen af pointsne, for en halv besvarelse. Tak for hjælpen.

Der fik du godt nok hænderne i mulden der må man sige .... meget godt gået synes jeg.
du skulle næsten smide en artikel ind om det herude.
mvh