Post 的資料好像會變大, 要改 Web.config

<system.web>

    <httpRuntime requestValidationMode="2.0" maxRequestLength="1024000"/>

</system.web>

程式碼如下:

public string UploadFilesToRemoteUrl(string url, string[] files, NameValueCollection formFields = null)

    {

        string boundary = "----------------------------" + DateTime.Now.Ticks.ToString("x");



        HttpWebRequest request = (HttpWebRequest)WebRequest.Create(url);

        request.ContentType = "multipart/form-data; boundary=" +

                                boundary;

        request.Method = "POST";

        request.KeepAlive = true;



        Stream memStream = new System.IO.MemoryStream();



        var boundarybytes = System.Text.Encoding.ASCII.GetBytes("\r\n--" +

                                                                boundary + "\r\n");

        var endBoundaryBytes = System.Text.Encoding.ASCII.GetBytes("\r\n--" +

                                                                    boundary + "--");





        string formdataTemplate = "\r\n--" + boundary +

                                    "\r\nContent-Disposition: form-data; name=\"{0}\";\r\n\r\n{1}";



        if (formFields != null)

        {

            foreach (string key in formFields.Keys)

            {

                string formitem = string.Format(formdataTemplate, key, formFields[key]);

                byte[] formitembytes = System.Text.Encoding.UTF8.GetBytes(formitem);

                memStream.Write(formitembytes, 0, formitembytes.Length);

            }

        }



        string headerTemplate =

            "Content-Disposition: form-data; name=\"{0}\"; filename=\"{1}\"\r\n" +

            "Content-Type: application/octet-stream\r\n\r\n";



        for (int i = 0; i < files.Length; i++)

        {

            memStream.Write(boundarybytes, 0, boundarybytes.Length);

            var header = string.Format(headerTemplate, "uplTheFile", files[i]);

            var headerbytes = System.Text.Encoding.UTF8.GetBytes(header);



            memStream.Write(headerbytes, 0, headerbytes.Length);



            using (var fileStream = new FileStream(files[i], FileMode.Open, FileAccess.Read))

            {

                var buffer = new byte[1024];

                var bytesRead = 0;

                while ((bytesRead = fileStream.Read(buffer, 0, buffer.Length)) != 0)

                {

                    Response.Write("bytesRead: " + bytesRead.ToString() + "<br>");

                    memStream.Write(buffer, 0, bytesRead);

                }

            }

        }



        memStream.Write(endBoundaryBytes, 0, endBoundaryBytes.Length);

        request.ContentLength = memStream.Length;



        using (Stream requestStream = request.GetRequestStream())

        {

            memStream.Position = 0;

            byte[] tempBuffer = new byte[memStream.Length];

            memStream.Read(tempBuffer, 0, tempBuffer.Length);

            memStream.Close();

            requestStream.Write(tempBuffer, 0, tempBuffer.Length);

        }



        try

        {

            using (var response = request.GetResponse())

            {

                Stream stream2 = response.GetResponseStream();

                StreamReader reader2 = new StreamReader(stream2);

                return reader2.ReadToEnd();

            }

        }

        catch (Exception ex)

        {

            return (ex.ToString());

            throw;

        }

    }

自從網站上了 net4.0 之後，網站會有為數不少的 "潛在危險" 的 exception
大都來自不友善的攻擊，想要測試網站的漏洞
網站做這層防護是好事，只是這個東西太敏感了，連簡單的冒號 & 符號都會跳 exception
更慘的是 Google Analytics 會在一些 user cookies 寫入xml文字 ( __utmz=... )
導致正常的 User 都不能正常瀏覽我們網站

解法有兩種:
1. 直接在 web.config 直接設定 不檢查

<system.web>

    <httpRuntime requestValidationMode="2.0" />

    <pages validateRequest="false" />

</system.web>

2. 自訂 RequestValidate (4.0以上才可以用)
請參考此文章 http://msdn.microsoft.com/en-us/library/system.web.util.requestvalidator(v=vs.100).aspx

後者比較算是正解 基本上處理掉 <script 我想 XSS 就解決一大半
 

今天設計反應新增電子報時發生問題
 
 解決方式
1. 先確認 aspx  => ValidateRequest="false
2. 上面如果設定對 

在Web.config中<system.web>中加入

這段 <httpRuntime requestValidationMode="2.0" />就ok了!!!

造成的原因
是.NET 4.0跟2.0版本在請求驗證的定義不同：

ASP.NET Request Validation 請求驗證是ASP.NET提供來保護XSS攻擊的一項功能

在2.0 僅針對.aspx及class進行驗證…

但到了4.0，請求驗認範圍擴大到所有的請求…

而不是只有.aspx，還包含WebService呼叫以及自訂的http Handlers，都會去驗證http請求的內容…

 

假如你現在在ASP.NET 4.0 的環境下的話，就算進行上述的設定，可能仍會出現驗證失敗的訊息(潛在危險Request.QueryString的錯誤訊息)
因為ASP.NET4.0與2.0版本在請求驗證的定義上已經有所不同：

這時為了避免這樣的問題，一樣在Web.Config中 <system.web>下加入下列語句
<httpRuntime requestValidationMode="2.0" />

http://www.dotblogs.com.tw/pin0513/archive/2010/10/22/18522.aspx

※修改主目錄web.config
刪除(紅字)
＊<compilation debug="true" targetFramework="4.0">
＊<httpRuntime maxRequestLength="102400" requestValidationMode="2.0"></httpRuntime>




※修改虛擬目錄web.config
加上<remove assembly="...." />




1.如果网站程序不需要ASP.NET 4‎.0 的支持，那么可以直接配置网站使用ASP.NET 2.0。
2.如果网站程序需要ASP.NET 4‎.0的支持，就需要将该网站下使用ASP.NET 2.0的虚拟目录移动到其他网站。
3.如果上面两种方法都不适用于你的实际情况，那么就只能用这种方法了：

打开注册表找到“HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\ASP.NET\\4.0.30319.0”
添加键值名为“EnableExtensionlessUrls” 类型为“DWORD”的键值
并设置值为"0"

然后在cmd中运行“IISRESET”，重启IIS以读取注册表修改后的内容。
(重啟該應用程式集區即可)：

注：此项修改就是关闭ASP.NET 4‎.0对无扩展URL的处理，若将此项键值设为“1”则开启。
參考：http://www.webjx.com/aspnet/2011-04-02/29024.html

A potentially dangerous Request.Form value was detected from the client (ContentBody_txtContent="<style type="text/cs...").

.aspx新增了<%@ Page validateRequest="false"%>

最後找到還需要在web.config裡面新增<httpRuntime requestValidationMode="2.0" />

相關專案: SINGTEX