Dlaczego potencjalnie niebezpieczny błąd żądanie nawet ValidateRequest = false

Question

Oto moja Defalult.aspx

<%@ Page Language="C#" AutoEventWireup="true" CodeFile="Default.aspx.cs" Inherits="_Default" ValidateRequest="false" %> 
<html> 
    <head runat="server"> 
     <title>xss demonstration</title> 
    </head> 
    <body> 
     <form id="form1" runat="server"> 
     <div> 
      We are looking for your feedback. 
      <asp:TextBox ID="txtFeedback" runat="server" TextMode="MultiLine" /> 
      <br /> 
      <asp:Button ID="submit" runat="server" Text="Submit" onclick="submit_Click" /> 
      <br /> 
      Comment: 
      <br /> 
      <asp:Literal ID="ltlFeedback" runat="server" /> 
     </div> 
     </form> 
    </body> 
</html> 

A poniżej jest Default.aspx.cs

public partial class _Default : System.Web.UI.Page 
{ 
    protected void submit_Click(object sender, EventArgs e) 
    { 
     this.ltlFeedback.Text = this.txtFeedback.Text; 
    } 
} 

Kiedy uruchomić aplikację i wprowadzić w następujący pole tekstowe.

<script>alert('Hello')</script> 

Dostaję następujący błąd.

Potencjalnie niebezpieczne wartość Request.Form wykryto od klienta (txtFeedback = "alert ('Hello ...").

Moje pytanie brzmi, dlaczego ten błąd choć ValidateRequest jest ustawiona na false na stronie?

Answer 1

w .NET Framework 4.0 trzeba ustawić <httpRuntime requestValidationMode="2.0"/> znaczników w pliku web.config.

<system.web> 
    <compilation debug="false" targetFramework="4.0" /> 
    <httpRuntime requestValidationMode="2.0"/> 
</system.web> 

Zapoznaj się z artykułem referencyjnym - ASP.NET 4 Breaking Changes #1: requestValidationMode cause ValidateRequest=False to fail.

Answer 2

wystarczy Dodaj następujący kod w swoim internetowym config

<system.web> 
     <compilation debug="false" targetFramework="4.0" /> 
     <httpRuntime requestValidationMode="2.0"/> 
</system.web> 

jednak zadbać robiąc to możesz być ofiarą cross site scripting