我在我的 asp.net 项目的一些网络表单中使用 FreeTextBox HTML 编辑器。如果我没有将 ValidateRequest 属性设置为 false，我会收到此错误:



不过在 admin 文件夹中没问题，因为只有授权用户才能使用它。但是，像每个用户都有权发表评论的部分(使用 FreeTextBox 收集用户评论)之类的公共(public)页面怎么样？ XSS 攻击没有风险吗？如果答案不是 Yes ，那么 ValidateRequest 属性是什么？

不，你是对的，这是潜在的危险。其背后的想法是 .net 不想限制可以用它的控件做什么，但同时消除了许多安全漏洞的可能性。 ValidateRequest 属性在那里，所以你可以告诉 ASP.NET，“嘿，别担心这个。我会自己验证它，因为我认为有些东西对你来说可能看起来很危险。”

默认情况下，它设置为验证响应，因为不验证潜在的 xss 攻击是危险的，而且获得一个您没有意识到的验证错误比让您的网站被黑更好。