ตรวจพบค่า Request.Path ที่อาจเป็นอันตรายจากไคลเอ็นต์ (*)

ฉันได้รับข้อผิดพลาดที่อธิบายตนเองได้ค่อนข้างดี:

ตรวจพบค่า Request.Path ที่อาจเป็นอันตรายจากไคลเอ็นต์ (*)

ปัญหานี้เกิดจาก*ใน URL คำขอ:

https://stackoverflow.com/Search/test*/0/1/10/1

URL นี้ใช้เพื่อเติมหน้าการค้นหาที่ 'test *' เป็นคำค้นหาและส่วนที่เหลือของ url เกี่ยวข้องกับตัวกรองอื่น ๆ

มีวิธีง่ายๆในการอนุญาตให้ใช้อักขระพิเศษเหล่านี้ใน URL หรือไม่? ฉันได้ลองแก้ไขweb.configแล้วเพื่อไม่เป็นประโยชน์

ฉันควรเข้ารหัส / ถอดรหัสอักขระพิเศษด้วยตนเองหรือไม่ หรือมีวิธีปฏิบัติที่ดีที่สุดสำหรับการทำเช่นนี้ฉันต้องการหลีกเลี่ยงการใช้สตริงการสืบค้น - แต่อาจเป็นตัวเลือก

แอปพลิเคชันนั้นเป็นc# asp.netแอปพลิเคชัน webforms ที่ใช้การกำหนดเส้นทางเพื่อสร้าง URL ที่ดีด้านบน

*ตัวละครที่ไม่ได้รับอนุญาตในเส้นทางของ URL แต่มีปัญหาในการใช้มันในสตริงแบบสอบถามไม่มี:

http://localhost:3286/Search/?q=test*

มันไม่ใช่ปัญหาการเข้ารหัส*อักขระไม่มีความหมายพิเศษใน URL ดังนั้นจึงไม่สำคัญว่าคุณเข้ารหัส URL หรือไม่ คุณจะต้องเข้ารหัสโดยใช้รูปแบบที่แตกต่างกันแล้วถอดรหัส

ตัวอย่างเช่นการใช้อักขระตามอำเภอใจเป็นอักขระ escape:

query = query.Replace("x", "xxx").Replace("y", "xxy").Replace("*", "xyy");

และถอดรหัส:

query = query.Replace("xyy", "*").Replace("xxy", "y").Replace("xxx", "x");

หากคุณใช้. NET 4.0 คุณควรอนุญาต URL เหล่านี้ผ่าน web.config

<system.web>
    <httpRuntime 
            requestPathInvalidCharacters="&lt;,&gt;,%,&amp;,:,\,?" />
</system.web>

หมายเหตุฉันเพิ่งลบเครื่องหมายดอกจัน (*) สตริงเริ่มต้นเดิมคือ:

<httpRuntime 
          requestPathInvalidCharacters="&lt;,&gt;,*,%,&amp;,:,\,?" />

ดูคำถามนี้สำหรับรายละเอียดเพิ่มเติม

สำหรับฉันฉันกำลังทำงานกับ. net 4.5.2 กับ web api 2.0 ฉันมีข้อผิดพลาดเหมือนกันฉันตั้งค่ามันเพียงแค่เพิ่ม requestPathInvalidCharacters = "" ใน RequestPathInvalidCharacters คุณต้องตั้งค่าตัวอักษรที่ไม่อนุญาต ทำให้เกิดปัญหานี้

<system.web>
     <httpRuntime targetFramework="4.5.2" requestPathInvalidCharacters="" />
     <pages  >
      <namespaces>
     ....
 </namespaces>
    </pages> 
  </system.web>

** โปรดทราบว่ามันไม่ใช่วิธีปฏิบัติที่ดีอาจเป็นการโพสต์ด้วยพารามิเตอร์นี้เนื่องจากคุณลักษณะของวัตถุนั้นดีกว่าหรือพยายามเข้ารหัสอักขระพิเศษ - หลังจากค้นหาวิธีปฏิบัติที่ดีที่สุดสำหรับการออกแบบส่วนที่เหลือฉันพบว่าในการค้นหาเรียงลำดับและการแยกหน้าเราต้องจัดการพารามิเตอร์การค้นหาเช่นนี้

/companies?search=Digital%26Mckinsey

และสิ่งนี้จะช่วยแก้ปัญหาเมื่อเราเข้ารหัส & และวางมันบน url อีกครั้งโดย% 26 ทุกวิธีบนเซิร์ฟเวอร์เราได้รับพารามิเตอร์ที่ถูกต้อง Digital & Mckinsey

ลิงค์นี้อาจช่วยในการปฏิบัติที่ดีที่สุดในการออกแบบเว็บส่วนที่เหลือ api https://hackernoon.com/restful-api-designing-guidelines-the-best-practices-60e1d954e7c9

คุณควรเข้ารหัสค่าเส้นทางและจากนั้น (ถ้าจำเป็น) ถอดรหัสค่าก่อนค้นหา

สำหรับฉันเมื่อพิมพ์ url ผู้ใช้ใช้ / a แทนโดยไม่ตั้งใจ? เพื่อเริ่มพารามิเตอร์เคียวรี

เช่น:

url.com/endpoint/parameter=SomeValue&otherparameter=Another+value

ซึ่งควรจะได้รับ:

url.com/endpoint?parameter=SomeValue&otherparameter=Another+value

ข้อยกเว้นนี้เกิดขึ้นในแอปพลิเคชันของฉันและค่อนข้างทำให้เข้าใจผิด

มันถูกโยนทิ้งเมื่อฉันเรียกหน้าเว็บ. aspx โดยใช้วิธีการเรียก ajax ผ่านวัตถุอาร์เรย์ JSON ลายเซ็นวิธีการเว็บเพจมีอาร์เรย์ของวัตถุ. NET ที่พิมพ์อย่างยิ่ง OrderDetails คุณสมบัติ Actual_Qty ถูกกำหนดเป็น int และคุณสมบัติ JSAL Actual_Qty ของวัตถุมี "4" (อักขระเว้นวรรค) หลังจากลบพื้นที่พิเศษแล้วการแปลงก็เป็นไปได้วิธีการเว็บเพจก็สำเร็จโดยการเรียก ajax

ลองตั้งค่าเซิร์ฟเวอร์ของโปรเจ็กต์เว็บให้เป็น Local IIS หากเป็น IIS Express ตรวจสอบให้แน่ใจว่า URL โครงการถูกต้องและสร้างไดเรกทอรีที่มีไวรัส

เมื่อจัดการกับ Uniform Resource Locator (URL) s มีบางมาตรฐานไวยากรณ์ในสถานการณ์นี้โดยเฉพาะเราจะจัดการกับตัวละครลิขสิทธิ์

มากถึงRFC 3986อักขระที่สงวนไว้อาจ (หรืออาจไม่) ถูกกำหนดเป็นตัวคั่นโดยไวยากรณ์ทั่วไปโดยแต่ละไวยากรณ์ของแต่ละโครงการ และเครื่องหมายดอกจัน (*) เป็นตัวละครที่สงวนไว้

แนวทางปฏิบัติที่ดีที่สุดคือการใช้อักขระที่ไม่ได้จองใน URL หรือคุณสามารถลองเข้ารหัสได้

ให้ขุด:

• การอ้างอิงการเข้ารหัส URL HTML (w3schools)
• เมื่อใดที่เข้ารหัสหรือถอดรหัส (RFC 3986)