HttpRequestValidationException HttpRequestValidationException HttpRequestValidationException HttpRequestValidationException Class

Definition

Die Ausnahme, die ausgelöst wird, wenn als Teil der Anforderungsdaten eine möglicherweise böswillige Eingabezeichenfolge vom Client empfangen wird.The exception that is thrown when a potentially malicious input string is received from the client as part of the request data. Diese Klasse kann nicht vererbt werden.This class cannot be inherited.

public ref class HttpRequestValidationException sealed : System::Web::HttpException
[System.Serializable]
public sealed class HttpRequestValidationException : System.Web.HttpException
type HttpRequestValidationException = class
    inherit HttpException
Public NotInheritable Class HttpRequestValidationException
Inherits HttpException
Vererbung
Attribute

Beispiele

Im folgenden Codebeispiel wird veranschaulicht, wie mithilfe HttpRequestValidationExceptionvon auf schädliche Benutzereingaben überprüft wird.The following code example demonstrates how to check for malicious user input by using an HttpRequestValidationException.

Wichtig

Dieses Beispiel umfasst ein Textfeld, das Benutzereingaben akzeptiert, die ein potenzielles Sicherheitsrisiko darstellen.This example has a text box that accepts user input, which is a potential security threat. Standardmäßig stellen ASP.NET-Webseiten sicher, dass Benutzereingaben keine Skript- oder HTML-Elemente enthalten.By default, ASP.NET Web pages validate that user input does not include script or HTML elements. Weitere Informationen finden Sie unter Übersicht über Skriptangriffe.For more information, see Script Exploits Overview.

<%@ Page Language="C#" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
    void Button1_Click(object sender, EventArgs e)
    {
        Label1.Text = txt1.Text;
    }
</script>

<html xmlns="http://www.w3.org/1999/xhtml" >
<head id="Head1" runat="server">
    <title>Untitled Page</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox id="txt1" Runat="server" />
        <asp:Button ID="Button1" Runat="server" Text="Button" OnClick="Button1_Click" />
        <br /><br />You entered: <asp:Label ID="Label1" Runat="server" Text="Label" />.
    </div>
    </form>
</body>
</html>
<%@ Page Language="VB" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server">
    Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs)
        Label1.Text = txt1.Text
    End Sub
</script>

<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
    <title>Untitled Page</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox id="txt1" Runat="server" />
        <asp:Button ID="Button1" Runat="server" Text="Button" OnClick="Button1_Click" />
        <br /><br />You entered: <asp:Label ID="Label1" Runat="server" Text="Label" />.
    </div>
    </form>
</body>
</html>

Hinweise

Das einschränken und Validieren von Benutzereingaben ist in einer Webanwendung wichtig, um Hackerangriffe zu verhindern, die auf böswillige Eingabe Zeichenfolgen basieren.Constraining and validating user input is essential in a Web application to prevent hacker attacks that rely on malicious input strings. Cross-Site Scripting-Angriffe sind ein Beispiel für derartige Hacks.Cross-site scripting attacks are one example of such hacks. Andere Typen bösartiger oder nicht gewünschter Daten können in einer Anforderung über verschiedene Formen von Eingaben übermittelt werden.Other types of malicious or undesired data can be passed in a request through various forms of input. Indem Sie die Arten von Daten einschränken, die auf niedriger Ebene in einer Anwendung weitergegeben werden, können Sie unerwünschte Ereignisse auch dann verhindern, wenn Programmierer, die den Code verwenden, nicht die richtigen Validierungsverfahren eingerichtet haben.By limiting the kinds of data that is passed at a low level in an application, you can prevent undesirable events, even when programmers who are using your code do not put the proper validation techniques in place.

Die Anforderungs Validierung erkennt potenziell böswillige Client Eingaben und löst diese Ausnahme aus, um die Verarbeitung der Anforderung abzubrechen.Request validation detects potentially malicious client input and throws this exception to abort processing of the request. Ein Abbruch der Anforderung kann auf einen Versuch hinweisen, die Sicherheit Ihrer Anwendung zu kompromittieren, z. b. ein Site übergreifender Skript Angriff.A request abort can indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. Es wird dringend empfohlen, dass Ihre Anwendung explizit alle Eingaben bezüglich der Anforderungs Abbrüche prüft.It is strongly recommended that your application explicitly check all input regarding request aborts. Sie können die Anforderungs Validierung jedoch deaktivieren, indem Sie validateRequest das-Attribut in der false-Direktive auf festlegen, wie im folgenden Beispiel gezeigt:However, you can disable request validation by setting the validateRequest attribute in the directive to false, as shown in the following example:

<%@ Page validateRequest="false" %>

Um die Anforderungs Validierung für die Anwendung zu deaktivieren, müssen Sie eine Web. config-Datei für Ihre Anwendung ändern oder erstellen validateRequest und das- pages Attribut des falseAbschnitts auf festlegen, wie im folgenden Beispiel gezeigt:To disable request validation for your application, you must modify or create a Web.config file for your application and set the validateRequest attribute of the pages section to false, as shown in the following example:

<configuration>   
  <system.web>   
    <pages validateRequest="false" />   
  </system.web>   
</configuration>   

Um die Anforderungs Validierung für alle Anwendungen auf dem Server zu deaktivieren, können Sie diese Änderung an der Datei Machine. config vornehmen.To disable request validation for all applications on your server, you can make this modification to the Machine.config file.

Hinweis

Es wird dringend empfohlen, dass Ihre Anwendung zusätzlich zur von ASP.net durchgeführten Anforderungs Validierung explizit alle Eingaben überprüft, die Sie verwendet.It is strongly recommended that your application explicitly check all inputs it uses in addition to the request validation performed by ASP.NET. Das Anforderungs Überprüfungs Feature kann nicht alle Angriffe erfassen, insbesondere solche, die speziell für Ihre Anwendungslogik entwickelt wurden.The request validation feature cannot catch all attacks, especially those crafted specifically against your application logic.

Konstruktoren

HttpRequestValidationException() HttpRequestValidationException() HttpRequestValidationException() HttpRequestValidationException()

Erstellt eine neue Instanz der HttpRequestValidationException-Klasse.Creates a new instance of the HttpRequestValidationException class.

HttpRequestValidationException(String) HttpRequestValidationException(String) HttpRequestValidationException(String) HttpRequestValidationException(String)

Erstellt eine neue HttpRequestValidationException-Ausnahme mit der angegebenen Fehlermeldung.Creates a new HttpRequestValidationException exception with the specified error message.

HttpRequestValidationException(String, Exception) HttpRequestValidationException(String, Exception) HttpRequestValidationException(String, Exception) HttpRequestValidationException(String, Exception)

Initialisiert eine neue Instanz der HttpRequestValidationException-Klasse mit einer angegebenen Fehlermeldung und einem Verweis auf die interne Ausnahme, die diese Ausnahme ausgelöst hat.Initializes a new instance of the HttpRequestValidationException class with a specified error message and a reference to the inner exception that is the cause of the exception.

Eigenschaften

Data Data Data Data

Ruft eine Auflistung von Schlüssel-Wert-Paaren ab, die zusätzliche benutzerdefinierte Informationen über die Ausnahme bereitstellen.Gets a collection of key/value pairs that provide additional user-defined information about the exception.

(Inherited from Exception)
ErrorCode ErrorCode ErrorCode ErrorCode

Ruft das HRESULT des Fehlers ab.Gets the HRESULT of the error.

(Inherited from ExternalException)
HelpLink HelpLink HelpLink HelpLink

Ruft einen Link zur Hilfedatei ab, die dieser Ausnahme zugeordnet ist, oder legt einen Link fest.Gets or sets a link to the help file associated with this exception.

(Inherited from Exception)
HResult HResult HResult HResult

Ruft HRESULT ab oder legt HRESULT fest. Dies ist ein codierter Wert, der einer bestimmten Ausnahme zugeordnet ist.Gets or sets HRESULT, a coded numerical value that is assigned to a specific exception.

(Inherited from Exception)
InnerException InnerException InnerException InnerException

Ruft die Exception-Instanz ab, die die aktuelle Ausnahme verursacht hat.Gets the Exception instance that caused the current exception.

(Inherited from Exception)
Message Message Message Message

Ruft eine Meldung ab, die die aktuelle Ausnahme beschreibt.Gets a message that describes the current exception.

(Inherited from Exception)
Source Source Source Source

Gibt den Namen der Anwendung oder des Objekts zurück, die bzw. das den Fehler verursacht hat, oder legt diesen fest.Gets or sets the name of the application or the object that causes the error.

(Inherited from Exception)
StackTrace StackTrace StackTrace StackTrace

Ruft eine Zeichenfolgendarstellung der unmittelbaren Frames in der Aufrufliste ab.Gets a string representation of the immediate frames on the call stack.

(Inherited from Exception)
TargetSite TargetSite TargetSite TargetSite

Ruft die Methode ab, die die aktuelle Ausnahme auslöst.Gets the method that throws the current exception.

(Inherited from Exception)
WebEventCode WebEventCode WebEventCode WebEventCode

Ruft die Ereigniscodes ab, die der HTTP-Ausnahme zugeordnet sind.Gets the event codes that are associated with the HTTP exception.

(Inherited from HttpException)

Methoden

Equals(Object) Equals(Object) Equals(Object) Equals(Object)

Bestimmt, ob das angegebene Objekt mit dem aktuellen Objekt identisch ist.Determines whether the specified object is equal to the current object.

(Inherited from Object)
GetBaseException() GetBaseException() GetBaseException() GetBaseException()

Gibt beim Überschreiben in einer abgeleiteten Klasse eine Exception zurück, die die ursprüngliche Ursache für eine oder mehrere nachfolgende Ausnahmen ist.When overridden in a derived class, returns the Exception that is the root cause of one or more subsequent exceptions.

(Inherited from Exception)
GetHashCode() GetHashCode() GetHashCode() GetHashCode()

Fungiert als Standardhashfunktion.Serves as the default hash function.

(Inherited from Object)
GetHtmlErrorMessage() GetHtmlErrorMessage() GetHtmlErrorMessage() GetHtmlErrorMessage()

Ruft die HTML-Fehlermeldung ab, die an den Client zurückgegeben wird.Gets the HTML error message to return to the client.

(Inherited from HttpException)
GetHttpCode() GetHttpCode() GetHttpCode() GetHttpCode()

Ruft den HTTP-Antwortstatuscode ab, der an den Client zurückgegeben wird.Gets the HTTP response status code to return to the client.

(Inherited from HttpException)
GetObjectData(SerializationInfo, StreamingContext) GetObjectData(SerializationInfo, StreamingContext) GetObjectData(SerializationInfo, StreamingContext) GetObjectData(SerializationInfo, StreamingContext)

Ruft Informationen zu der Ausnahme ab und fügt sie dem SerializationInfo-Objekt hinzu.Gets information about the exception and adds it to the SerializationInfo object.

(Inherited from HttpException)
GetType() GetType() GetType() GetType()

Ruft den Laufzeittyp der aktuellen Instanz ab.Gets the runtime type of the current instance.

(Inherited from Exception)
MemberwiseClone() MemberwiseClone() MemberwiseClone() MemberwiseClone()

Erstellt eine flache Kopie des aktuellen Object.Creates a shallow copy of the current Object.

(Inherited from Object)
ToString() ToString() ToString() ToString()

Gibt eine Zeichenfolge zurück, die das HRESULT des Fehlers enthält.Returns a string that contains the HRESULT of the error.

(Inherited from ExternalException)

Ereignisse

SerializeObjectState SerializeObjectState SerializeObjectState SerializeObjectState

Tritt auf, wenn eine Ausnahme serialisiert wird, um ein Ausnahmezustandsobjekt mit serialisierten Daten über die Ausnahme zu erstellen.Occurs when an exception is serialized to create an exception state object that contains serialized data about the exception.

(Inherited from Exception)

Gilt für: