我猜这是允许在页面上的任何TextBox中输入HTML.有没有在唯一的控件上应用ValidateRequest =“false”?
感谢任何帮助.
验证被添加为默认值,以保护对输入验证无关的开发人员.如果您知道所有输入都必须被视为不安全的,并且知道如何正确地对输入中使用的数据进行编码,以保护自己免受sql注入和跨站点脚本的攻击,可以关闭验证.
编辑:
更新:在.NET 4.5中,添加了ValidateRequestMode property,这允许从页面全局验证中排除控件.
ValidateRequestMode
