任何人都可以通过以下问题为我指明正确的方向。
ASP.NET 中的默认“危险请求”验证禁止输入,例如
"<p", "<p>" or "<script>"
但同时允许像这样的输入
"<%script>" or "<.script>"
这里的理性是什么?
任何人都可以通过以下问题为我指明正确的方向。
ASP.NET 中的默认“危险请求”验证禁止输入,例如
"<p", "<p>" or "<script>"
但同时允许像这样的输入
"<%script>" or "<.script>"
这里的理性是什么?