我知道我可以通过ASP.NET安全性来使用validateRequest="false"。我想知道设置此标志可能导致的安全问题。只要我使用XSS库对输入进行编码,我能100%确定不存在任何问题吗?
答案 0 :(得分:1)
据我了解,此验证仅保护'<'和'>'字符,因此您受到保护,例如有人把< script>警报('f word')< / script>在您的博客评论中发表...
答案 1 :(得分:1)
我必须在几个应用程序中关闭它(如上所述),只要你do encode your output你应该没问题。请求验证不应该是您唯一的武器for XSS prevention - How To: Prevent Cross-Site Scripting in ASP.NET。
另一方面如果你是using MVC3 you can disable request validation at a more granular level
答案 2 :(得分:0)
只要您正确编码生成的HTML页面中显示的数据,您就会非常安全。