Я добавлялПравильный способ проверки запроса в ASP.NET 4.0
requestValidationMode="2.0"
в мои файлы web.config с тех пор .net 4.0 вышел, но мне кажется, что установка режима проверки назад к 2 версиям предшествует немного глупо. Итак, в .net 4, каков правильный способ управления проверкой запроса?
Правильный способ, на мой взгляд, состоит в том, чтобы позволить ему быть и не испортить его, если у вас нет веской причины. Значение по умолчанию в версии 4.0, вдумайтесь, 4,0 :)
Пожалуйста, смотрите это для получения дополнительной информации:
и особенно в этой статье:
Основной разница заключается в следующем:
2.0 - проверка выполняется только для asp.net страниц
4.0 - проверка выполняется для каждого запроса HTTP (услуги и т.д.)
Что хорошо - но в 4.0 способ делать вещи, нет никакого способа, чтобы отключить его для отдельной страницы, где вы могли бы в 2,0 - который, по-видимому, является основным нарушением изменений ... – Paul
@Paul, основное изменение - дополнительный уровень безопасности. Если вам это не нужно, все в порядке. Это полностью зависит от вас. Я думаю, что это самое важное предложение из этой статьи: «Однако мы рекомендуем проанализировать любые ошибки проверки запроса, чтобы определить, могут ли существующие обработчики, модули или другой пользовательский код обращаться к потенциально опасным входам HTTP, которые могут быть векторами атаки XSS». – walther