我的一个 GUI 给出了一条消息“一个潜在危险的请求。从客户端检测到表单值”这是因为名称可以包含 <> 字符。要停止此消息,可以将 ValidateRequest="false" 添加到 web.config。这会使应用程序容易受到恶意输入的攻击,例如
http://www.thegeekstuff.com/2012/02/xss-attack-examples/
如果 GUI 将 <> 转换为转义字符,则存储过程需要将它们转换回来,所以当浏览器显示名称时,我仍然可以得到恶意 javascript。
我能想到的唯一安慰是名称限制为 90 个字符。一串javascript需要多长时间才能进行恶意行为?
此链接提供了一些需要注意的标签,但并不详尽。
http://msdn.microsoft.com/en-us/library/ff649310.aspx 有什么建议吗?我正在使用 Visual Studio 2008 和 asp.net 3.5 - C#