Trong các ghi chú cho Bước 1 trong các "How To: Prevent Cross-Site Scripting in ASP.NET" nó được tuyên bố rằng bạn nên "không dựa vào xác nhận yêu cầu ASP.NET. Hãy coi nó như là một biện pháp phòng ngừa thêm ngoài xác nhận đầu vào của riêng bạn."Tại sao ValidateRequest = "không đủ" cho phòng ngừa XSS?
Tại sao không đủ?
+1 để đề cập đến AntiXss, mọi người nên sử dụng. – slugster