HttpRequestValidationException HttpRequestValidationException HttpRequestValidationException HttpRequestValidationException Class

Определение

Исключение, выдаваемое при получении от клиента потенциально опасной строки входящих данных в качестве части данных запроса.The exception that is thrown when a potentially malicious input string is received from the client as part of the request data. Этот класс не наследуется.This class cannot be inherited.

public ref class HttpRequestValidationException sealed : System::Web::HttpException
[System.Serializable]
public sealed class HttpRequestValidationException : System.Web.HttpException
type HttpRequestValidationException = class
    inherit HttpException
Public NotInheritable Class HttpRequestValidationException
Inherits HttpException
Наследование
Атрибуты

Примеры

В следующем примере кода показано, как проверить ввод вредоносных пользователей с помощью HttpRequestValidationException.The following code example demonstrates how to check for malicious user input by using an HttpRequestValidationException.

Важно!

В этом примере имеется текстовое поле, принимающее вводимые пользователем данные, что является потенциальной угрозой безопасности.This example has a text box that accepts user input, which is a potential security threat. По умолчанию данные, вводимые пользователем на веб-страницах ASP.NET, проверяются на наличие скриптов и HTML-элементов.By default, ASP.NET Web pages validate that user input does not include script or HTML elements. Дополнительные сведения см. в разделе Общие сведения об использовании сценариев.For more information, see Script Exploits Overview.

<%@ Page Language="C#" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN"
    "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<script runat="server">
    void Button1_Click(object sender, EventArgs e)
    {
        Label1.Text = txt1.Text;
    }
</script>

<html xmlns="http://www.w3.org/1999/xhtml" >
<head id="Head1" runat="server">
    <title>Untitled Page</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox id="txt1" Runat="server" />
        <asp:Button ID="Button1" Runat="server" Text="Button" OnClick="Button1_Click" />
        <br /><br />You entered: <asp:Label ID="Label1" Runat="server" Text="Label" />.
    </div>
    </form>
</body>
</html>
<%@ Page Language="VB" %>

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">

<script runat="server">
    Sub Button1_Click(ByVal sender As Object, ByVal e As System.EventArgs)
        Label1.Text = txt1.Text
    End Sub
</script>

<html xmlns="http://www.w3.org/1999/xhtml" >
<head runat="server">
    <title>Untitled Page</title>
</head>
<body>
    <form id="form1" runat="server">
    <div>
        <asp:TextBox id="txt1" Runat="server" />
        <asp:Button ID="Button1" Runat="server" Text="Button" OnClick="Button1_Click" />
        <br /><br />You entered: <asp:Label ID="Label1" Runat="server" Text="Label" />.
    </div>
    </form>
</body>
</html>

Комментарии

Ограничение и проверка вводимых пользователем данных очень важно в веб-приложении, чтобы предотвратить атаки хакеров, которые полагаются на вредоносные входные строки.Constraining and validating user input is essential in a Web application to prevent hacker attacks that rely on malicious input strings. Атаки с использованием межузловых сценариев являются одним из примеров таких атак.Cross-site scripting attacks are one example of such hacks. Другие типы вредоносных или ненужных данных могут передаваться в запросе с помощью различных форм ввода.Other types of malicious or undesired data can be passed in a request through various forms of input. Ограничивая типы данных, передаваемых на низком уровне в приложении, можно предотвратить нежелательные события, даже если программисты, использующие ваш код, не помещают нужные методы проверки.By limiting the kinds of data that is passed at a low level in an application, you can prevent undesirable events, even when programmers who are using your code do not put the proper validation techniques in place.

Проверка запросов обнаруживает потенциально вредоносные входные данные клиента и создает это исключение для прерывания обработки запроса.Request validation detects potentially malicious client input and throws this exception to abort processing of the request. Прерывание запроса может означать попытку нарушения безопасности приложения, например атаки с помощью межсайтовых сценариев.A request abort can indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. Настоятельно рекомендуется, чтобы приложение явно проверит все входные данные в отношении прерываний запросов.It is strongly recommended that your application explicitly check all input regarding request aborts. Однако проверку запроса можно отключить, задав validateRequest атрибут в falseдирективе, как показано в следующем примере:However, you can disable request validation by setting the validateRequest attribute in the directive to false, as shown in the following example:

<%@ Page validateRequest="false" %>

Чтобы отключить проверку запросов для приложения, необходимо изменить или создать файл Web. config для приложения и задать validateRequest для falseатрибута pages раздела значение, как показано в следующем примере:To disable request validation for your application, you must modify or create a Web.config file for your application and set the validateRequest attribute of the pages section to false, as shown in the following example:

<configuration>   
  <system.web>   
    <pages validateRequest="false" />   
  </system.web>   
</configuration>   

Чтобы отключить проверку запросов для всех приложений на сервере, можно внести это изменение в файл Machine. config.To disable request validation for all applications on your server, you can make this modification to the Machine.config file.

Примечание

Настоятельно рекомендуется, чтобы приложение явным образом проводило проверку всех входных данных в дополнение к проверке запроса, выполненной ASP.NET.It is strongly recommended that your application explicitly check all inputs it uses in addition to the request validation performed by ASP.NET. Функция проверки запросов не может перехватывать все атаки, особенно созданные специально для логики приложения.The request validation feature cannot catch all attacks, especially those crafted specifically against your application logic.

Конструкторы

HttpRequestValidationException() HttpRequestValidationException() HttpRequestValidationException() HttpRequestValidationException()

Создает новый экземпляр класса HttpRequestValidationException.Creates a new instance of the HttpRequestValidationException class.

HttpRequestValidationException(String) HttpRequestValidationException(String) HttpRequestValidationException(String) HttpRequestValidationException(String)

Создает новое исключение HttpRequestValidationException с указанным сообщением об ошибке.Creates a new HttpRequestValidationException exception with the specified error message.

HttpRequestValidationException(String, Exception) HttpRequestValidationException(String, Exception) HttpRequestValidationException(String, Exception) HttpRequestValidationException(String, Exception)

Инициализирует новый экземпляр класса HttpRequestValidationException с указанным сообщением об ошибке и ссылкой на внутреннее исключение, которое стало причиной данного исключения.Initializes a new instance of the HttpRequestValidationException class with a specified error message and a reference to the inner exception that is the cause of the exception.

Свойства

Data Data Data Data

Возвращает коллекцию пар ключ/значение, предоставляющие дополнительные сведения об исключении, определяемые пользователем.Gets a collection of key/value pairs that provide additional user-defined information about the exception.

(Inherited from Exception)
ErrorCode ErrorCode ErrorCode ErrorCode

Возвращает HRESULT ошибки.Gets the HRESULT of the error.

(Inherited from ExternalException)
HelpLink HelpLink HelpLink HelpLink

Получает или задает ссылку на файл справки, связанный с этим исключением.Gets or sets a link to the help file associated with this exception.

(Inherited from Exception)
HResult HResult HResult HResult

Возвращает или задает HRESULT — кодированное числовое значение, присвоенное определенному исключению.Gets or sets HRESULT, a coded numerical value that is assigned to a specific exception.

(Inherited from Exception)
InnerException InnerException InnerException InnerException

Возвращает экземпляр класса Exception, который вызвал текущее исключение.Gets the Exception instance that caused the current exception.

(Inherited from Exception)
Message Message Message Message

Возвращает сообщение, описывающее текущее исключение.Gets a message that describes the current exception.

(Inherited from Exception)
Source Source Source Source

Возвращает или задает имя приложения или объекта, вызывавшего ошибку.Gets or sets the name of the application or the object that causes the error.

(Inherited from Exception)
StackTrace StackTrace StackTrace StackTrace

Получает строковое представление непосредственных кадров в стеке вызова.Gets a string representation of the immediate frames on the call stack.

(Inherited from Exception)
TargetSite TargetSite TargetSite TargetSite

Возвращает метод, создавший текущее исключение.Gets the method that throws the current exception.

(Inherited from Exception)
WebEventCode WebEventCode WebEventCode WebEventCode

Получает коды событий, связанные с HTTP-исключением.Gets the event codes that are associated with the HTTP exception.

(Inherited from HttpException)

Методы

Equals(Object) Equals(Object) Equals(Object) Equals(Object)

Определяет, равен ли заданный объект текущему объекту.Determines whether the specified object is equal to the current object.

(Inherited from Object)
GetBaseException() GetBaseException() GetBaseException() GetBaseException()

При переопределении в производном классе возвращает исключение Exception, которое является корневой причиной одного или нескольких последующих исключений.When overridden in a derived class, returns the Exception that is the root cause of one or more subsequent exceptions.

(Inherited from Exception)
GetHashCode() GetHashCode() GetHashCode() GetHashCode()

Служит хэш-функцией по умолчанию.Serves as the default hash function.

(Inherited from Object)
GetHtmlErrorMessage() GetHtmlErrorMessage() GetHtmlErrorMessage() GetHtmlErrorMessage()

Возвращает HTML-сообщение об ошибке для возврата клиенту.Gets the HTML error message to return to the client.

(Inherited from HttpException)
GetHttpCode() GetHttpCode() GetHttpCode() GetHttpCode()

Возвращает код состояния HTTP-ответа для передачи клиенту.Gets the HTTP response status code to return to the client.

(Inherited from HttpException)
GetObjectData(SerializationInfo, StreamingContext) GetObjectData(SerializationInfo, StreamingContext) GetObjectData(SerializationInfo, StreamingContext) GetObjectData(SerializationInfo, StreamingContext)

Возвращает сведения об исключении и добавляет их в объект SerializationInfo.Gets information about the exception and adds it to the SerializationInfo object.

(Inherited from HttpException)
GetType() GetType() GetType() GetType()

Возвращает тип среды выполнения текущего экземпляра.Gets the runtime type of the current instance.

(Inherited from Exception)
MemberwiseClone() MemberwiseClone() MemberwiseClone() MemberwiseClone()

Создает неполную копию текущего объекта Object.Creates a shallow copy of the current Object.

(Inherited from Object)
ToString() ToString() ToString() ToString()

Возвращает строку, содержащую значение HRESULT ошибки.Returns a string that contains the HRESULT of the error.

(Inherited from ExternalException)

События

SerializeObjectState SerializeObjectState SerializeObjectState SerializeObjectState

Возникает, когда исключение сериализовано для создания объекта состояния исключения, содержащего сериализованные данные об исключении.Occurs when an exception is serialized to create an exception state object that contains serialized data about the exception.

(Inherited from Exception)

Применяется к