��danie ASP.NET zawieraj�ce wiele kluczy formularzy, plik�w lub element�w �adunku JSON ko�czy si� niepowodzeniem z powodu wyj�tku

Numer ID artyku�u: 2661403 - Zobacz jakich produkt�w dotycz� zawarte w tym artykule porady.

Streszczenie

Aktualizacja zabezpiecze� firmy Microsoft MS11-100 ogranicza maksymaln� liczb� kluczy formularzy, plik�w i element�w JSON w ��daniu HTTP do 1000. Z powodu tej zmiany aplikacje ASP.NET odrzucaj� ��dania zawieraj�ce wi�cej ni� 1000 tych element�w. Tego rodzaju ��dania wysy�ane przez klienta HTTP zostaj� odrzucone, a w przegl�darce sieci Web pojawia si� komunikat o b��dzie. Komunikat o b��dzie ma zwykle kod stanu HTTP 500. Ten nowy limit mo�na skonfigurowa� dla poszczeg�lnych aplikacji. Instrukcje dotycz�ce konfiguracji zawarto w sekcji �Rozwi�zanie�.

Powr�t na g�r� | Przeka� opini�

Symptomy

Na ��dania ASP.NET zawieraj�ce wiele kluczy formularzy, plik�w lub element�w JSON serwer odpowiada komunikatem o b��dzie. W dzienniku aplikacji na serwerze znajduje si� wpis ostrze�enia, w kt�rym jako �r�d�o wskazana jest konkretna wersja programu ASP.NET, a zdarzenie ma identyfikator 1309. Dziennik zdarze� zawiera jeden z nast�puj�cych komunikat�w:

Komunikat 1:

Komunikat 2:

Komunikat 3:

Informacje o aplikacji:
Domena aplikacji: /LM/W3SVC/1/ROOT/<domena_aplikacji>
Poziom zaufania: �redni
�cie�ka wirtualna aplikacji: <�cie�ka_VDIR>
�cie�ka aplikacji: <�cie�ka_aplikacji>
Nazwa komputera: <nazwa_komputera>

Informacje o procesie:
Identyfikator procesu: 0001
Nazwa procesu: w3wp.exe
Nazwa konta: IIS APPPOOL\DefaultAppPool

Informacje o wyj�tku:
Typ wyj�tku: InvalidOperationException
Komunikat o wyj�tku: Ze wzgl�du na bie��cy stan obiektu operacja jest nieprawid�owa.
w System.Web.Script.Serialization.JavaScriptObjectDeserializer.DeserializeDictionary(Int32 depth)
w System.Web.Script.Serialization.JavaScriptObjectDeserializer.DeserializeInternal(Int32 depth)
w System.Web.Script.Serialization.JavaScriptObjectDeserializer.BasicDeserialize(String input, Int32 depthLimit, JavaScriptSerializer serializer)
w System.Web.Script.Serialization.JavaScriptSerializer.Deserialize(JavaScriptSerializer serializer, String input, Type type, Int32 depthLimit)
w System.Web.Script.Serialization.JavaScriptSerializer.DeserializeObject(String input)
w Failing.Page_Load(Object sender, EventArgs e)
w System.Web.Util.CalliHelper.EventArgFunctionCaller(IntPtr fp, Object o, Object t, EventArgs e)
w System.Web.Util.CalliEventHandlerDelegateProxy.Callback(Object sender, EventArgs e)
w System.Web.UI.Control.OnLoad(EventArgs e)
w System.Web.UI.Control.LoadRecursive()
w System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint)�

W dzienniku programu IIS znajduje si� wpis podobny do nast�puj�cego: 2011-01-01 00:00:00 ::1 POST /machine/default.aspx - 80 - ::1 - 500 0 0 187

Powr�t na g�r� | Przeka� opini�

Przyczyna

Aktualizacja zabezpiecze� firmy Microsoft opisana w biuletynie zabezpiecze� MS11-100 zmienia domy�ln� maksymaln� liczb� kluczy formularzy, plik�w i element�w JSON akceptowan� w ��daniu przez program ASP.NET na 1000. T� zmian� wprowadzono w celu wyeliminowania luki w zabezpieczeniach umo�liwiaj�cej atak typu �odmowa us�ugi� udokumentowanej w biuletynie zabezpiecze� firmy Microsoft MS11-100.

Powr�t na g�r� | Przeka� opini�

Rozwi�zanie

W przypadku aplikacji, kt�re osi�gaj� ten limit dla kluczy formularzy lub plik�w, mo�na zmodyfikowa� pozycj� programu ASP.NET appSetting aspnet:MaxHttpCollectionKeys, jak pokazano poni�ej, w pliku konfiguracji aplikacji ASP.NET. To ustawienie rozwi�zuje problem z komunikatami o b��dach 1 i 2 z sekcji �Symptomy�.

<configuration>
<appSettings>
<add key="aspnet:MaxHttpCollectionKeys" value="1000" />
</appSettings>
</configuration>

Uwaga W razie u�ywania wersji ASP.NET 1.1 w systemie opartym na procesorach x86 to ustawienie dopasowuje si�, dodaj�c warto�� DWORD do nast�puj�cego klucza rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ASP.NET\1.1.4322.0\MaxHttpCollectionKeys

W razie u�ywania wersji ASP.NET 1.1 w systemie opartym na procesorach x64 to ustawienie dopasowuje si�, dodaj�c warto�� DWORD do nast�puj�cego klucza rejestru:

HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\ASP.NET\1.1.4322.0\MaxHttpCollectionKeys

W przypadku aplikacji, kt�re osi�gaj� ten limit dla �adunk�w JSON, mo�na zmodyfikowa� pozycj� programu ASP.NET appSetting aspnet:MaxJsonDeserializerMembers, jak pokazano poni�ej, w pliku konfiguracji aplikacji ASP.NET. To ustawienie rozwi�zuje problem z komunikatem o b��dzie 3 z sekcji �Symptomy�.

<configuration>
<appSettings>
<add key="aspnet:MaxJsonDeserializerMembers" value="1000" />
</appSettings>
</configuration>

Uwaga Zwi�kszenie powy�szej warto�ci ponad ustawienie domy�lne zwi�ksza podatno�� serwera na zagro�enie atakiem typu �odmowa us�ugi� z wykorzystaniem luki w zabezpieczeniach om�wionej w biuletynie zabezpiecze� MS11-100.

Powr�t na g�r� | Przeka� opini�