بسم الله الرحمن الرحيم ...
توجد الكثير من المخاطر تواجه مطوري بيئة الإنرتنت. و من أهم هذه المخاطر هي الـ Cross-site scripting أو ما يعرف بالـ XSS .
الـ XXS عموماً هي مشكلة في أمن الحاسبات، و توجد هذه المشكلة بشكل خاص في نطبيقات الويب. و التي تسمح بإدخال أكواد HTML و Client Side Code مثل الـ JS أو VBS داخل الفورم للقيام بعمليات لا يفترض بالفورم عملها.
لمزيد من المعلومات عن الـ XSS يمكن البحث في قووقل أو زيارة هذا الموقع في ويكي بيديا : http://en.wikipedia.org/wiki/Cross-site_scripting
لتقليل مخاطر الـ XSS في بيئة الدوت نت يمكن اضافة validateRequest مع القيمة true في ملف الـ Web.config أو الصفحة.
في الـدوت نت 2.0 و 1.1 القيمة الافتراضية هي : True أما في الدوت نت 1.0 القيمة الافتراضية هي false .
إذا احتاج برنامجك إدخال أكواد HTML أو JS يمكنك عمل Disable على مستوى الصفحة و هو الأفضل كما في الكود التالي:
<%@ Page validateRequest="false" %>
كما يمكنك عمل disable للتطبيق ككل عن طريق إضافة الكود التالي في الـ Web.config .
<configuration>
<system.web>
<pages validateRequest="false" />
</system.web>
</configuration>
و إن لم تعمل Disable للـ validateRequest و أدرت إدخال أكواد HTML أو JS سوف تحصل على الخطأ التالي:
potentially dangerous Request.Form value was detected
كما يظهر في الصورة التالية:
بالطبع لا تنصح شركة مايكروسوفت بعمل Disable إلا إذا كنت تحتاج له و قم بعمل Disable على مستوى الصفحة فقط و ليس على مستوى التطبيق...
لمزيد من التفاصيل يمكنك الرجوع لهذا الموقع:
http://www.asp.net/learn/whitepapers/request-validation/