asp.net4.0框架下验证机制失效的原因及处理办法

ASP.NET请求验证功能为我们提供应用程序的安全保证，避免站点受到XSS跨站脚本攻击。但在有些时候，比如我们需要使用Ckeditor等在线文本编辑器让用户输入一些HTML文本，在ASP.NET 2.0框架下，通过在web.config中设置validateRequest="false"。或者在MVC中，我们可以通过在Controller或者Action上设置[ValidateRequest(false)]这个特性来达到禁用的目的。在ASP.NET 4.0框架下，你会发现，即使你这样做，仍然会提示你这样的一个异常“A potentially dangerous Request.Form value was detected from the client”。这是怎么回事呢？

原来是asp.4.0应用程序生命周期发生了变化，在之前的ASP.NET版本中，请求验证是默认启用的，它只对页面请求有效（请求.aspx页面），并且也只是在页面被请求时验证。在ASP.NET 4.0中，请求验证功能被提前到IHttpHandler.BeginRequest这个方法被请求之前，这也就意味着所有进入ASP.NET请求通道的所有的HTTP请求都将会被进行请求内容合法性的验证，包括有的自定义HttpHandler，WebService请求，甚至于利用自定义Http Module进行自定义请求处理程序。

请求验证处理被提前的后果就是导致我们在页面，或者Controller中设置ValidateRequest=false，将会失效，无法阻止程序不去验证请求的输入内容了。因为这样做后，验证器无法得到请求的页面是否禁用了验证请求，因为还没有实例化HttpHandler。并且在ASP.NET4.0中，并没有提供给我一个地方去禁用这个验证功能。出于兼容性的考虑，ASP.NET允许我们通过在web.config中配置使用ASP.NET 2.0的请求验证行为<httpRuntime requestValidationMode=”2.0″ />，这样就解决了。