説明

ASP.NETは、ASP.NETのWebサイトを悪意を持つ可能性のあるユーザーの要求から保護するために、様々なアルゴリズムを実装しています。例えば、XSS攻撃に使用される可能性がある文字が含まれる要求や、不審な長さのパスが含まれる要求を拒否するなどです。

SitecoreのWebサイトが悪意をもつ可能性のある要求を受けた場合、様々なエラーがWebサイトの訪問者に向けて表示されたり、Sitecoreのログ ファイルに出力されたりする可能性があります。

しかし特定の状況では、このような要求の検証の実施により、通常のページが予想通り読み込まれない可能性があります。本記事は、ASP.NET要求の検証が原因となる様々なエラーの詳細およびその分析と適切な対応方法について説明します。

要求の検証に関する詳細情報につきましては、以下のMSDN記事をご参照ください：
http://msdn.microsoft.com/en-us/library/hh882339(v=vs.110).aspx

シナリオ１

エラー メッセージ：

Webサイトの訪問者がHTMLマークアップとして扱えるフォームの値を送信すると、次のエラーがログに出力されたり、ユーザーに表示されたりする可能性があります（Sitecore 7.1 Update-2以降）：

ERROR A potentially dangerous Request.Form value was detected from the client (...).
Exception: System.Web.HttpRequestValidationException
Message: A potentially dangerous Request.Form value was detected from the client (...).
Source: System.Web
   at System.Web.HttpRequest.ValidateString(String value, String collectionKey, RequestValidationSource requestCollection)
   at System.Web.HttpRequest.ValidateNameValueCollection(NameValueCollection nvc, RequestValidationSource requestCollection)
   at System.Web.HttpRequest.get_Form()
   ...

解決策：

• Sitecoreクライアントを使用している際にこの問題が発生する場合、以下の手順を実施してください。
  
  1. Web.configファイルのhttpRuntimeノードにrequestValidationMode="2.0"属性を追加します。

     <httpRuntime ... requestValidationMode="2.0"/>

  2. Web.configのpageのノードのvalidateRequest属性が「false」に設定されているかを確認します。

     <page ... validateRequest="false"/>

  これでデフォルトで要求の検証を無効にすることができます。ただし、Webサイトの要求の検証が有効になるよう、各ページでPageディレクティブのValidateRequest属性を「true」に設定することをお薦めします。
  

  <%@ Page ... ValidateRequest="true" %>

• Webサイトまたは特定のページの要求の検証を無効にするには、前述のMSDNの記事に掲載されている手順に従ってください。
  この場合、入力値をデータベースに保存する前またはページに出力する前に、必ずhtmlエンコードしてください。
  ※：Web.configのpageノードのvalidateRequest属性は、デフォルトで「false」に設定されています。Sitecoreクライアントを使用する場合、この設定は変更しないでください。

シナリオ2

エラー メッセージ：

要求されたURLに不正な文字が含まれている場合、次のエラーが表示される可能性があります。

ERROR Application error.
Exception: System.Web.HttpException
Message: A potentially dangerous Request.Path value was detected from the client (&).
Source: System.Web
at System.Web.HttpRequest.ValidateInputIfRequiredByConfig()
at System.Web.HttpApplication.PipelineStepManager.ValidateHelper(HttpContext context)

解決策：

• 次の手順に従って、ページ上に表示されたリンクにエラー メッセージに言及された不正な文字が含まれていないことを確認します。
  
  1. Sitecore APIを使用してレンダリングされるリンクについては、Web.configファイルのencodeNameReplacementsブロックに以下の適切なレコードが含まれていることを確認します。
     <replace mode="on" find="INVALID CHARACTER" replaceWith="REPLACING CHARACTER" />
  2. カスタム コードで生成されたリンクについては、これらの文字およびエンコードされた文字が含まれていないかを手動で検証します。
     エンコードの参考として、以下の記事を参照してください：http://www.w3schools.com/tags/ref_urlencode.asp
• パスにこれらの文字を使用する場合、次の通りWeb.configファイルのhttpRuntimeノードにrequestPathInvalidCharacters属性を追加します。
  

  <httpRuntime ... requestPathInvalidCharacters="&lt;,&gt;,*,%,&amp;,:,\,?"/>

  次に、このリストから特定の文字を除外します。
• Webサイトおよび特定ページの検証を無効にするには、前述のMSDN記事に掲載されている手順に従ってください。
  ※：Web.configのpageノードのvalidateRequest属性は、デフォルトで「false」に設定されています。Sitecoreクライアントを使用する場合、この設定は変更しないでください。

シナリオ３

エラー メッセージ：

要求されたURLの長さが事前定義済みの値を超える場合、以下のエラーが表示される可能性があります。

ERROR Application error.
Exception: System.Web.HttpException
Message: The length of the URL for this request exceeds the configured maxUrlLength value.
Source: System.Web
at System.Web.HttpRequest.ValidateInputIfRequiredByConfig()
at System.Web.HttpApplication.PipelineStepManager.ValidateHelper(HttpContext context)

解決策：

• Web.configファイルのhttpRuntimeノードのmaxUrlLength属性値を増加します。この属性値が指定されていない場合、デフォルト値（260）が使用されます。

シナリオ4

エラー メッセージ：

要求のクエリ文字列の長さが事前定義済みの値を超えると、次のエラーが表示されます。

ERROR Application 
Exception: System.Web.HttpException
Message: The length of the query string for this request exceeds the configured maxQueryStringLength value.
Source: System.Web
at System.Web.HttpRequest.ValidateInputIfRequiredByConfig()
at System.Web.HttpApplication.PipelineStepManager.ValidateHelper(HttpContext context)

解決策：

• Web.configファイルのhttpRuntimeノードのmaxQueryStringLength属性値を増加します。この属性値が指定されていない場合、デフォルト値（2048）が使用されます。

シナリオ５

エラー メッセージ：

要求されたURLのパスが有効なWindowsのファイル パスのルールに一致しない場合、次のエラーが表示される可能性があります：

ERROR Application error.
Exception: System.Web.HttpException
Message: 
Source: System.Web
at System.Web.CachedPathData.ValidatePath(String physicalPath)
at System.Web.HttpApplication.PipelineStepManager.ValidateHelper(HttpContext context)

解決策：

• MSDNの記事に掲載されているルールについて熟知し、エラーの原因を排除します。この問題で最も可能性が高い原因は、URL末尾に余分なスペースがあることです。このスペースを削除する必要があります。
  既知の問題のあるURLは、次のアイテムで確認できます：
  
  1. データベース: master、アイテム: /sitecore/templates/System/Layout/Renderings/Webcontrol、セクション: Appearance、フィールド: Icon
  2. データベース: core、アイテム: /sitecore/content/Applications/Content Editor/Menues/Archive/Archive Item Now、セクション: Appearance、フィールド: Icon
  3. データベース: core、アイテム: /sitecore/content/Applications/Content Editor/Menues/Archive/Archive Version Now、セクション: Appearance、フィールド: Icon
• Web.configのhttpRuntimeノードrelaxedUrlToFileSystemMapping属性の値を「true」に設定し、Windowsのファイル パスの検証を無効にしてください。