requestValidationMode="2.0" 是什么意思？实际上呢？

Question

我正在尝试解决“从客户端检测到潜在危险的 Request.Form 值”问题，并给出答案和 Scott Hanselman 建议

<httpRuntime requestValidationMode="2.0" />

在 Web.config 中进行设置（以及向有问题的方法添加属性）。
我意识到这将验证模式更改为 ASP.NET 2.0，但这意味着什么？
另外，此更改是否有我应该注意的副作用？

谢谢。

Answer 1

查看 MSDN 的 HttpRuntimeSection.RequestValidationMode 属性< 中的说明< /a>.

2.0。仅对页面启用请求验证，不适用于所有 HTTP 请求。另外，页面的请求验证设置
配置文件或 @ Page 指令中的元素（如果有）
在单个页面中用于确定哪个页面请求
验证。

Answer 2

查看 ASP.NET 请求验证>

ASP.NET 中的请求验证功能提供了一定程度的
针对跨站点脚本 (XSS) 攻击的默认保护。在
以前版本的 ASP.NET，请求验证是通过以下方式启用的
默认。但是，它仅适用于 ASP.NET 页面（.aspx 文件和
他们的类文件）并且仅当这些页面正在执行时。

在 ASP.NET 4 中，默认情况下，对所有请求都启用请求验证
请求，因为它是在 BeginRequest 阶段之前启用的
HTTP 请求。因此，请求验证适用于以下请求
所有 ASP.NET 资源，而不仅仅是 .aspx 页面请求。这包括
请求，例如 Web 服务调用和自定义 HTTP 处理程序。要求
当自定义 HTTP 模块读取
HTTP 请求的内容。

因此，请求现在可能会发生请求验证错误
以前不会触发错误。恢复到的行为
ASP.NET 2.0请求验证功能，添加以下设置
在 Web.config 文件中：

<httpRuntime requestValidationMode="2.0" />

但是，我们建议您分析所有请求验证错误
确定是否存在现有的处理程序、模块或其他自定义代码
访问可能受到 XSS 攻击的潜在不安全 HTTP 输入
向量。