Может ли кто-нибудь указать мне в правильном направлении со следующим вопросом.Почему проверка ASP.NET опасного запроса работает таким образом?
по умолчанию «Dangerous запрос» проверка в ASP.NET запрещает входы как
"<p", "<p>" or "<script>"
, но в то же время позволяет входы, как
"<%script>" or "<.script>"
Что такое рациональное здесь?
Спасибо, Ричард, я больше задаю вопрос, почему «
lekso
@lekso Поскольку ваш браузер не рассматривает '<% script' для запуска элемента сценария (если он не очень * сломан): для начала'% 'не является допустимым символом в имени элемента. – Richard
Я объясню причину: у нас это помечено как проблема тестирования проникновения. Я пытаюсь оценить риски. – lekso