Question

我通过AJAX请求发送给用户。搜索是用户在表单上输入的输入。发送的网址不包含非法字符。（我知道像'或＆lt;或＆gt;这样的字符对于电子邮件地址不正确）

GET http://localhost:1294/Users/GetAll?search=%27test%27%2B%3Cinfo%2540test.pl%3E

查询被编码以保护XSS，但我得到例外：

A potentially dangerous Request.QueryString value was detected 
from the client (search="...test' <test@test.pl>").

我不明白为什么我在url中编码数据时会得到这个异常？

Answer 1

您正在使用被认为有害的<>，即使它之前已被编码过。

当检测到任何HTML标记时，请求验证会抛出此异常，包括<b>（粗体）元素等无害标记。