HttpRequestValidationException和跨站点脚本编写

Question

通过使用HttpRequestValidationException，它是否有必要保护您免受所有跨脚本威胁？

是否存在潜在危险的脚本可能未被检测到的情况？

Answer 1

不，简而言之，它没有。请使用反射器反编译它，看看它做了什么。对html属性的攻击可能是：“onfocus=alert(1)自动聚焦在这里没有<或>，但它仍然有效。请使用AntiXss并检查OWASP XSS预防小抄。所以你需要注意，特别是当你使用未转义的属性时，如文字。

Answer 2

是的，简而言之就是这样。它不能做所有与XSS相关的事情，比如控制你用JavaScript(eval()...等)做什么。就您的ASP.NET应用程序正在处理的请求而言，它做得很好，总是有例外。