W uwagach do kroku 1 w "How To: Prevent Cross-Site Scripting in ASP.NET" stwierdza się, że "nie należy polegać na sprawdzaniu poprawności żądania ASP.NET, traktując to jako dodatkowy środek zapobiegawczy oprócz własnego sprawdzania poprawności danych wejściowych."Dlaczego ValidateRequest = "true" nie wystarcza do zapobiegania XSS?
Dlaczego to nie wystarczy?
+1 za wzmiankę o AntiXss, z której wszyscy powinni korzystać. – slugster