我正在测试我的 MVC3 Web 应用程序的 XSS 攻击,我注意到ValidateRequest.Net中的默认行为有一种奇怪的行为
我有一个带有几个文本字段的表单,当我输入“危险”字符串时,例如:
<img src=x onerror=alert(/XSS/.source)>
我看到“检测到潜在危险的 Request.Form...”消息按预期弹出。
我的理解是,此验证将自动取消请求,并且不会发生任何更改。但是,当我刷新页面时,我看到有问题的文本字段现在显示值“ED7F9”
如果我尝试保存<script>alert("hi")</script>. 在这种情况下,验证消息之后,该字段中的剩余文本为:“alert(”
有没有人见过这个,有任何线索来解释为什么会发生这种情况?