我收到以下消息:
从中检测到一个潜在危险的Request.Form值 客户端
尝试保存值$。
我查看了网络上的一些常见答案,他们建议在.ASPX文件的头部使用ValidateRequest="false"。
从安全角度来看,这是一个很好的解决方案吗?不存在安全风险吗?
答案 0 :(得分:4)
要扩展CodeCaster的评论,这绝对是一件危险的事情。您允许用户输入信息,这意味着精明的用户现在可以使用您的网站内部。
跨站点脚本
如果将值发布到某些新闻Feed或其他内容,则允许自由格式输入可能意味着将javascript注入您的Feed中,这些javascript会针对该网站的其他用户执行并打开它们进行攻击。这可以简单到将广告注入您的网站,甚至将其重定向到另一个攻击页面,这会让您看起来很糟糕。