ASP.NET表单请求潜在危险值错误解析及解决方案探究

在ASP.NET开发中，有时会遇到“从客户端中检测到有潜在危险的Request.Form值”的错误，这通常是由于客户端提交的数据包含某些特定模式或结构时，ASP.NET的默认安全机制会触发异常，认为这些数据可能是恶意的或不安全的，以下是一些常见的解决方法：

1、修改当前页面的Page指令：

在.aspx页面的顶部，找到<%@ Page %>指令，添加ValidateRequest="false"属性，这将禁用对当前页面的请求验证，从而避免因包含特殊字符而引发的错误。

示例代码：

     <%@ Page Language="C#" AutoEventWireup="true" CodeFile="default.aspx.cs" Inherits="_Default" ValidateRequest="false" %>

2、全局修改Web.config配置文件：

打开项目的web.config文件，在<system.web>节点下添加或修改<pages validateRequest="false" />设置，这将关闭所有页面的请求验证，但会降低整个应用的安全性，因此不推荐、不建议使用此方法。

示例代码：

     <configuration>
       <system.web>
         <pages validateRequest="false" />
       </system.web>
     </configuration>

对于.NET Framework 4.0及以上版本，还需要在<system.web>节点下添加<httpRuntime requestValidationMode="2.0" />设置。

示例代码：

     <configuration>
       <system.web>
         <pages validateRequest="false" />
         <httpRuntime requestValidationMode="2.0" />
       </system.web>
     </configuration>

3、对字符串进行编码：

如果所传值含有特殊危险符号，可以在传值前，利用Server.HtmlEncode(string)方法对字符串进行编码，将危险字符转义为普通的字符。

示例代码（C#）：

     string str = "<script>alert('test')</script>";
     str = Server.HtmlEncode(str);
     // 此时str的值变为"&lt;script&gt;alert(&apos;test&apos;)&lt;/script&gt;"

4、切换解决方案运行环境：

如果网站程序本身是ASP.NET 2.0环境开发的，但放到了VS2010软件里运行（即.NET Framework 4.0环境），可能会出现此问题，此时可以把运行解决方案切换成net2.0即可。

解决ASP.NET中“从客户端中检测到有潜在危险的Request.Form值”错误的方法有多种，可以根据具体情况选择合适的方法，在实际应用中，应尽量避免全局关闭请求验证，而是针对特定页面或情况进行处理，以确保应用程序的安全性。