HttpRequestValidationException Klasse

Definition

Die Ausnahme, die ausgelöst wird, wenn als Teil der Anforderungsdaten eine möglicherweise böswillige Eingabezeichenfolge vom Client empfangen wird.The exception that is thrown when a potentially malicious input string is received from the client as part of the request data. Diese Klasse kann nicht vererbt werden.This class cannot be inherited.

public ref class HttpRequestValidationException sealed : System::Web::HttpException
[System.Serializable]
public sealed class HttpRequestValidationException : System.Web.HttpException
type HttpRequestValidationException = class
    inherit HttpException
Public NotInheritable Class HttpRequestValidationException
Inherits HttpException
Vererbung
Attribute

Beispiele

Im folgenden Codebeispiel wird veranschaulicht, wie mithilfe HttpRequestValidationExceptionvon auf schädliche Benutzereingaben überprüft wird.The following code example demonstrates how to check for malicious user input by using an HttpRequestValidationException.

Wichtig

Dieses Beispiel umfasst ein Textfeld, das Benutzereingaben akzeptiert, die ein potenzielles Sicherheitsrisiko darstellen.This example has a text box that accepts user input, which is a potential security threat. Standardmäßig stellen ASP.NET-Webseiten sicher, dass Benutzereingaben keine Skript- oder HTML-Elemente enthalten.By default, ASP.NET Web pages validate that user input does not include script or HTML elements. Weitere Informationen finden Sie unter Übersicht über Skriptangriffe.For more information, see Script Exploits Overview.

<%@ Page Language="C#" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
    void Button1_Click(object sender, EventArgs e)
    {
        Label1.Text = txt1.Text;
    }
</script>

<html xmlns="http://www.w3.org/1999/xhtml" >
<head id="Head1" runat="server">
    <title>Untitled Page</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox id="txt1" Runat="server" />
        <asp:Button ID="Button1" Runat="server" Text="Button" OnClick="Button1_Click" />
        <br /><br />You entered: <asp:Label ID="Label1" Runat="server" Text="Label" />.
    </div>
    </form>
</body>
</html>
<%@ Page Language="VB" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server">
    Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs)
        Label1.Text = txt1.Text
    End Sub
</script>

<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
    <title>Untitled Page</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox id="txt1" Runat="server" />
        <asp:Button ID="Button1" Runat="server" Text="Button" OnClick="Button1_Click" />
        <br /><br />You entered: <asp:Label ID="Label1" Runat="server" Text="Label" />.
    </div>
    </form>
</body>
</html>

Hinweise

Das einschränken und Validieren von Benutzereingaben ist in einer Webanwendung wichtig, um Hackerangriffe zu verhindern, die auf böswillige Eingabe Zeichenfolgen basieren.Constraining and validating user input is essential in a Web application to prevent hacker attacks that rely on malicious input strings. Cross-Site Scripting-Angriffe sind ein Beispiel für derartige Hacks.Cross-site scripting attacks are one example of such hacks. Andere Typen bösartiger oder nicht gewünschter Daten können in einer Anforderung über verschiedene Formen von Eingaben übermittelt werden.Other types of malicious or undesired data can be passed in a request through various forms of input. Indem Sie die Arten von Daten einschränken, die auf niedriger Ebene in einer Anwendung weitergegeben werden, können Sie unerwünschte Ereignisse auch dann verhindern, wenn Programmierer, die den Code verwenden, nicht die richtigen Validierungsverfahren eingerichtet haben.By limiting the kinds of data that is passed at a low level in an application, you can prevent undesirable events, even when programmers who are using your code do not put the proper validation techniques in place.

Die Anforderungs Validierung erkennt potenziell böswillige Client Eingaben und löst diese Ausnahme aus, um die Verarbeitung der Anforderung abzubrechen.Request validation detects potentially malicious client input and throws this exception to abort processing of the request. Ein Abbruch der Anforderung kann auf einen Versuch hinweisen, die Sicherheit Ihrer Anwendung zu kompromittieren, z. b. ein Site übergreifender Skript Angriff.A request abort can indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. Es wird dringend empfohlen, dass Ihre Anwendung explizit alle Eingaben bezüglich der Anforderungs Abbrüche prüft.It is strongly recommended that your application explicitly check all input regarding request aborts. Sie können die Anforderungs Validierung jedoch deaktivieren, indem Sie validateRequest das-Attribut in der false-Direktive auf festlegen, wie im folgenden Beispiel gezeigt:However, you can disable request validation by setting the validateRequest attribute in the directive to false, as shown in the following example:

<%@ Page validateRequest="false" %>

Um die Anforderungs Validierung für die Anwendung zu deaktivieren, müssen Sie eine Web. config-Datei für Ihre Anwendung ändern oder erstellen validateRequest und das- pages Attribut des falseAbschnitts auf festlegen, wie im folgenden Beispiel gezeigt:To disable request validation for your application, you must modify or create a Web.config file for your application and set the validateRequest attribute of the pages section to false, as shown in the following example:

<configuration>   
  <system.web>   
    <pages validateRequest="false" />   
  </system.web>   
</configuration>   

Um die Anforderungs Validierung für alle Anwendungen auf dem Server zu deaktivieren, können Sie diese Änderung an der Datei Machine. config vornehmen.To disable request validation for all applications on your server, you can make this modification to the Machine.config file.

Hinweis

Es wird dringend empfohlen, dass Ihre Anwendung zusätzlich zur von ASP.net durchgeführten Anforderungs Validierung explizit alle Eingaben überprüft, die Sie verwendet.It is strongly recommended that your application explicitly check all inputs it uses in addition to the request validation performed by ASP.NET. Das Anforderungs Überprüfungs Feature kann nicht alle Angriffe erfassen, insbesondere solche, die speziell für Ihre Anwendungslogik entwickelt wurden.The request validation feature cannot catch all attacks, especially those crafted specifically against your application logic.

Konstruktoren

HttpRequestValidationException()

Erstellt eine neue Instanz der HttpRequestValidationException-Klasse.Creates a new instance of the HttpRequestValidationException class.

HttpRequestValidationException(String)

Erstellt eine neue HttpRequestValidationException-Ausnahme mit der angegebenen Fehlermeldung.Creates a new HttpRequestValidationException exception with the specified error message.

HttpRequestValidationException(String, Exception)

Initialisiert eine neue Instanz der HttpRequestValidationException-Klasse mit einer angegebenen Fehlermeldung und einem Verweis auf die interne Ausnahme, die diese Ausnahme ausgelöst hat.Initializes a new instance of the HttpRequestValidationException class with a specified error message and a reference to the inner exception that is the cause of the exception.

Eigenschaften

Data

Ruft eine Auflistung von Schlüssel-Wert-Paaren ab, die zusätzliche benutzerdefinierte Informationen über die Ausnahme bereitstellen.Gets a collection of key/value pairs that provide additional user-defined information about the exception.

(Geerbt von Exception)
ErrorCode

Ruft das HRESULT des Fehlers ab.Gets the HRESULT of the error.

(Geerbt von ExternalException)
HelpLink

Ruft einen Link zur Hilfedatei ab, die dieser Ausnahme zugeordnet ist, oder legt einen Link fest.Gets or sets a link to the help file associated with this exception.

(Geerbt von Exception)
HResult

Ruft HRESULT ab oder legt HRESULT fest. Dies ist ein codierter Wert, der einer bestimmten Ausnahme zugeordnet ist.Gets or sets HRESULT, a coded numerical value that is assigned to a specific exception.

(Geerbt von Exception)
InnerException

Ruft die Exception-Instanz ab, die die aktuelle Ausnahme verursacht hat.Gets the Exception instance that caused the current exception.

(Geerbt von Exception)
Message

Ruft eine Meldung ab, die die aktuelle Ausnahme beschreibt.Gets a message that describes the current exception.

(Geerbt von Exception)
Source

Gibt den Namen der Anwendung oder des Objekts zurück, die bzw. das den Fehler verursacht hat, oder legt diesen fest.Gets or sets the name of the application or the object that causes the error.

(Geerbt von Exception)
StackTrace

Ruft eine Zeichenfolgendarstellung der unmittelbaren Frames in der Aufrufliste ab.Gets a string representation of the immediate frames on the call stack.

(Geerbt von Exception)
TargetSite

Ruft die Methode ab, die die aktuelle Ausnahme auslöst.Gets the method that throws the current exception.

(Geerbt von Exception)
WebEventCode

Ruft die Ereigniscodes ab, die der HTTP-Ausnahme zugeordnet sind.Gets the event codes that are associated with the HTTP exception.

(Geerbt von HttpException)

Methoden

Equals(Object)

Ermittelt, ob das angegebene Objekt und das aktuelle Objekt gleich sind.Determines whether the specified object is equal to the current object.

(Geerbt von Object)
GetBaseException()

Gibt beim Überschreiben in einer abgeleiteten Klasse eine Exception zurück, die die ursprüngliche Ursache für eine oder mehrere nachfolgende Ausnahmen ist.When overridden in a derived class, returns the Exception that is the root cause of one or more subsequent exceptions.

(Geerbt von Exception)
GetHashCode()

Dient als die Standard-HashfunktionServes as the default hash function.

(Geerbt von Object)
GetHtmlErrorMessage()

Ruft die HTML-Fehlermeldung ab, die an den Client zurückgegeben wird.Gets the HTML error message to return to the client.

(Geerbt von HttpException)
GetHttpCode()

Ruft den HTTP-Antwortstatuscode ab, der an den Client zurückgegeben wird.Gets the HTTP response status code to return to the client.

(Geerbt von HttpException)
GetObjectData(SerializationInfo, StreamingContext)

Ruft Informationen zu der Ausnahme ab und fügt sie dem SerializationInfo-Objekt hinzu.Gets information about the exception and adds it to the SerializationInfo object.

(Geerbt von HttpException)
GetType()

Ruft den Laufzeittyp der aktuellen Instanz ab.Gets the runtime type of the current instance.

(Geerbt von Exception)
MemberwiseClone()

Erstellt eine flache Kopie des aktuellen Object.Creates a shallow copy of the current Object.

(Geerbt von Object)
ToString()

Gibt eine Zeichenfolge zurück, die das HRESULT des Fehlers enthält.Returns a string that contains the HRESULT of the error.

(Geerbt von ExternalException)

Ereignisse

SerializeObjectState

Tritt auf, wenn eine Ausnahme serialisiert wird, um ein Ausnahmezustandsobjekt mit serialisierten Daten über die Ausnahme zu erstellen.Occurs when an exception is serialized to create an exception state object that contains serialized data about the exception.

(Geerbt von Exception)

Gilt für: