潜在的に危険なRequest.Path値がクライアントから検出されました（*）

自明のエラーが表示されます。

潜在的に危険なRequest.Path値がクライアントから検出されました（*）。

この問題は*リクエストURL が原因です。

https://stackoverflow.com/Search/test*/0/1/10/1

このURLは、「test *」が検索用語で、残りのURLが他のさまざまなフィルターに関連する検索ページにデータを入力するために使用されます。

URLでこれらの特殊文字を許可する簡単な方法はありますか？を変更しようとしましたがweb.config、役に立ちませんでした。

特殊文字を手動でエンコード/デコードする必要がありますか？または、これを行うためのベストプラクティスがあります。クエリ文字列の使用は避けたいです。-しかし、それはオプションかもしれません。

アプリケーション自体は、c# asp.netルーティングを使用して上記の素晴らしいURLを生成するwebformsアプリケーションです。

この*文字はURLのパスでは使用できませんが、クエリ文字列で使用しても問題はありません。

http://localhost:3286/Search/?q=test*

これはエンコードの問題で*はなく、文字はURLで特別な意味を持たないため、URLエンコードするかどうかは関係ありません。別のスキームを使用してエンコードしてからデコードする必要があります。

たとえば、エスケープ文字として任意の文字を使用します。

query = query.Replace("x", "xxx").Replace("y", "xxy").Replace("*", "xyy");

そしてデコード：

query = query.Replace("xyy", "*").Replace("xxy", "y").Replace("xxx", "x");

.NET 4.0を使用している場合は、web.configを介してこれらのURLを許可できるはずです。

<system.web>
    <httpRuntime 
            requestPathInvalidCharacters="&lt;,&gt;,%,&amp;,:,\,?" />
</system.web>

アスタリスク（*）を削除したことに注意してください。元のデフォルトの文字列は次のとおりです。

<httpRuntime 
          requestPathInvalidCharacters="&lt;,&gt;,*,%,&amp;,:,\,?" />

詳細については、この質問を参照してください。

私にとっては、web api 2.0で.net 4.5.2に取り組んでいますが、同じエラーが発生します。requestPathInvalidCharacters= ""をrequestPathInvalidCharactersに追加するだけで設定できます。許可されていない文字を設定する必要があります。それ以外の文字を削除する必要があります。この問題を引き起こします。

<system.web>
     <httpRuntime targetFramework="4.5.2" requestPathInvalidCharacters="" />
     <pages  >
      <namespaces>
     ....
 </namespaces>
    </pages> 
  </system.web>

**これは良い習慣ではないことに注意してください。オブジェクトの属性の方が優れているか、特殊文字をエンコードしようとしているため、このパラメーターを持つ投稿である可能性があります。-REST APIを設計するためのベストプラクティスを検索した後、検索、並べ替え、およびページネーションで、クエリパラメーターを次のように処理する必要があることがわかりました

/companies?search=Digital%26Mckinsey

これにより、URLをエンコードしてURLに何らかの方法で％26再配置するときの問題が解決され、サーバーで正しいパラメーターDigital＆Mckinseyを受け取ります

このリンクは、レストWeb APIの設計のベストプラクティスに役立つ場合があります https://hackernoon.com/restful-api-designing-guidelines-the-best-practices-60e1d954e7c9

ルート値をエンコードしてから、（必要な場合）検索する前に値をデコードする必要があります。

私にとって、URLを入力するときに、ユーザーが誤って/ではなく/を使用しました。クエリパラメータを開始するには

例えば：

url.com/endpoint/parameter=SomeValue&otherparameter=Another+value

あるはずです：

url.com/endpoint?parameter=SomeValue&otherparameter=Another+value

この例外は私のアプリケーションで発生し、誤解を招くものでした。

JSON配列オブジェクトを渡して、ajaxメソッド呼び出しを使用して.aspxページWebメソッドを呼び出したときにスローされました。Webページのメソッドシグネチャには、厳密に型指定された.NETオブジェクトの配列OrderDetailsが含まれていました。Actual_Qtyプロパティはintとして定義され、JSONオブジェクトActual_Qtyプロパティには "4"（余分なスペース文字）が含まれていました。余分なスペースを削除した後、変換が可能になり、Webページメソッドはajax呼び出しによって正常に到達しました。

IIS Expressの場合は、WebプロジェクトのサーバープロパティをローカルIISとして設定してみてください。プロジェクトのURLが正しいかどうかを確認し、仮想ディレクトリを作成します。

Uniform Resource Locator（URL）を扱う場合、特定の構文標準があります。この特定の状況では、予約文字を扱います。ます。

までのようにRFC 3986、（またはしない場合があります）予約文字は、各方式固有の構文によって、またはURIの逆参照アルゴリズムの実装固有の構文により、一般的な構文によって区切り文字として定義されます。また、アスタリスク（*）は予約文字です。

ベストプラクティスは、予約されていない文字を使用することです、URLですることです。または、エンコードしてみることもできます。

掘り続ける：

• HTML URLエンコーディングリファレンス（w3schools）
• いつエンコードまたはデコードするか（RFC 3986）