我尝试过使用这个CSS属性的数据URI:

background-image: url("data:image/png;base64,iVBORw0KGgoAAAANSUhEUgAAAAEAAAABCAYAAAAfFcSJAAAAGXRFWHRTb2Z0d2FyZQBBZG9iZSBJbWFnZVJlYWR5ccllPAAAAA9JREFUeNpiYGBg8AUIMAAAUgBOUWVeTwAAAABJRU5ErkJggg==");

在本地它工作正常。 但是,当我调试时,chrome中缺少文件。 如果我尝试导航到它,我得到:从客户端(:)检测到一个潜在危险的Request.Path值。

显然我的应用程序认为此图像的URI是可疑的。

我如何让它显示? 我尝试使用以下方法放松验证:

<httpRuntime requestPathInvalidCharacters="" requestValidationMode="2.0" />
<pages validateRequest="false"></pages>

理想情况下,我不想放松太多的规则,只是足以让这些数据URI图像加载。

===============>>#1 票数:1 已采纳

我敢打赌,由于Base-64编码的URI,应用程序认为该请求是可疑的。 在Base-64中编码恶意URL是攻击者通过剥离和/或转义URL的前端过滤器获取URL的常见策略,并且模糊了读取代码的任何人的请求。 XSS攻击通常通过将这些URI中的一个存储在数据库中并返回给其他用户来完成。

由于现在XSS的高风险,我会犹豫是否禁用支票。 如果可以,只需使用非编码URI。 如果你做不到,你应该问问自己为什么。 如果您试图通过混淆URI来增强安全性,请确保攻击者解密这一点非常简单。 不是任何形式的加密,只是表示数据的不同方式。

  ask by Nick translate from so

未解决问题?本站智能推荐:

3回复

从客户端(&)检测到潜在危险的Request.Path值

我理解为什么会这样,但我需要一个解决方法。 我在StackOverflow上查看了一些其他问题,但没有一个是有用的。 我不想在整个网站上禁用输入验证,因为这绝对是危险的。 我只有一个(至少现在)我需要禁用输入验证的地方。 我用[ValidateInput(false)]属性修饰了Ac
2回复

使用数据URI方案和img标记进行攻击

是否有人知道使用 src =“data:xxxxx”>用户提供内容的任何安全问题? 假设内容已经过验证,因此它符合数据URI的格式,因此它不会突破标记,也仅限于图像mime类型。 http://en.wikipedia.org/wiki/Data_URI_scheme
3回复

从客户端检测到潜在的危险Request.Path值

我完全不知道为什么会收到此错误。 导致此错误的典型原因与尝试将HTML标记提交到文本字符串或类似内容有关,但是我没有做类似的事情。 我认为正在发生的页面使用一个简单的电子邮件地址。 这是我的验证模型... 这是我的脚本参考,因为错误似乎在Scripts目录中。 我最好的
1回复

从客户端检测到一个潜在危险的Request.Path值(:)

我发布的有关ELMAH的网络应用程序有时会出现以下错误: 在elmah报告的网址中,我得到: /https:/domain.com/ 我是否必须在我的web.config中添加以下行来修复它?: 这究竟意味着什么? 我应该小心这个?
5回复

获取“从客户端(&)检测到潜在危险的Request.Path值”

我有一个遗留代码问题,需要我支持随机网址,就好像它们是对主页的请求一样。 某些URL中包含的字符会生成错误“从客户端(&)检测到潜在危险的Request.Path值” 。 该站点使用ASP.Net MVC 3(在C#中)编写,并在IIS 7.5上运行。 这是一个示例URL ...
1回复

从客户端(IIS)检测到潜在的危险Request.Path值

我有这个请求https://192.xxx.xx/%3cscript%3e_q_q=%27%29%28%27%3c/script%3e 在我的服务器上制作完之后,我得到了: 我该如何显示一条更友好的消息? 注意:我的asp.net c#应用程序托管在以下位置: https://1
1回复

无法在MVC 3中禁用“......有潜在危险的Request.Path ...”

我知道有很多关于这个主题的帖子,但无论我怎么努力(使用这些帖子中的细节)我都无法从MVC 3中完全删除请求验证。 通过一个丑陋但简单的测试,我遵循了以下步骤: - 打开VS并创建一个新的示例MVC3 Internet应用程序。 在我的控制器动作的每个上面我放置了[Val
2回复

ASP.NET MVC具有有效URL的“潜在危险Request.Path”

在我的生产ASP.NET MVC 3站点上,我注意到偶尔会出现“从客户端检测到一个潜在危险的Request.Path值(%)”。 Windows应用程序日志中的未处理异常。 虽然这些在常规站点使用(即/随机web机器人)下完全有效,但许多请求似乎来自有效的本地ISP用户。 在例外的
1回复

为什么我得到:“从客户端(&)检测到潜在的Request.Path值。”?

我不明白为什么我输入完整的网址后会从控制器调用操作异常 它可以使用jquery从表单或ajax发布中正常调用,它不是设置为仅接受发布,我的最后一次尝试是,我仅在Web.config中显式指定HttpGet并setip验证页面= false。 我迷路了 这是我传递的网址:main /
2回复

将带有加密生成的128个字符的文件名的pdf文件放在公共Web文件夹中是否危险?

我有一个网站,允许用户请求pdf格式的秘密报告。 我的想法是将生成的pdf文件放在禁用了目录浏览的公用文件夹中。 每个文件名均包含128个字符,这些字符是唯一和加密生成的。 合法用户将获得其自己报告的链接。 将带有加密生成的128个字符的文件名的pdf文件放在公共Web文