对于由SiteFinity托管的ASP.NET MVC 4网站,我可以在文本框中输入以下文字:
< input type="text" >
它将值传递给MVC后端而没有任何问题。我期待看到"potentially dangerous request" error,但我没有得到它。
控制器后端操作的唯一属性是:
[HttpPost]
[AllowAnonymous]
[ValidateAntiForgeryToken]
我没有[AllowHTML]
我尝试添加[ValidateInput(true)]
,但它没有做任何事情。
我已经检入了我的filterconfig文件,但这只是添加了[Authorize]
属性。
我已经检查了web.config,httpRuntime设置在这里
<httpRuntime maxRequestLength="102400"
maxUrlLength="102400"
maxQueryStringLength="10000"
requestValidationType="Telerik.Sitefinity.Security.Claims.CustomRequestValidator, Telerik.Sitefinity" />
它没有设置requestValidationMode="2.0"
并且没有validateRequest="false"
设置。我不知道Sitefinity CustomRequest Validator做了什么,是更新到Sitefinity 6.0的一部分并且是可疑的,但我在prod上设置了这个设置,我确实得到了潜在的危险错误。
我只找到告诉我如何避免收到此错误的网页。任何人都知道如何启用它?关于禁用它的代码中还有什么可能的想法?