【发布时间】:2012-08-17 11:00:50
【问题描述】:
我可以看到在这个 XSS 和其他黑客攻击的时代需要验证请求。 但这可能有点矫枉过正,就像砍掉孩子的腿以确保他不会跑到路上被杀。
我们收到投诉称无法设置像 <password> 这样的密码。
据我所知,解决此问题的唯一方法是在一大堆页面上设置ValidateRequest="false"(例如注册、登录、重置密码)。而在使用.NET 4.0时,还需要为整个应用设置<httpRuntime requestValidationMode="2.0" />。
这真的是唯一的方法吗?有没有办法说只有密码字段不应该被验证?
【问题讨论】:
标签: asp.net