Oto moja Defalult.aspxDlaczego potencjalnie niebezpieczny błąd żądanie nawet ValidateRequest = false
<%@ Page Language="C#" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default" ValidateRequest="false" %>
<html>
<head runat="server">
<title>xss demonstration</title>
</head>
<body>
<form id="form1" runat="server">
<div>
We are looking for your feedback.
<asp:TextBox ID="txtFeedback" runat="server" TextMode="MultiLine" />
<br />
<asp:Button ID="submit" runat="server" Text="Submit" onclick="submit_Click" />
<br />
Comment:
<br />
<asp:Literal ID="ltlFeedback" runat="server" />
</div>
</form>
</body>
</html>
A poniżej jest Default.aspx.cs
public partial class _Default : System.Web.UI.Page
{
protected void submit_Click(object sender, EventArgs e)
{
this.ltlFeedback.Text = this.txtFeedback.Text;
}
}
Kiedy uruchomić aplikację i wprowadzić w następujący pole tekstowe.
<script>alert('Hello')</script>
Dostaję następujący błąd.
Potencjalnie niebezpieczne wartość Request.Form wykryto od klienta (txtFeedback = "alert ('Hello ...").
Moje pytanie brzmi, dlaczego ten błąd choć ValidateRequest jest ustawiona na false na stronie?
to było to. Dzięki –