asp.net – 为什么DotNetNuke禁用了验证？

发布时间：2020-12-16 07:15:00 所属栏目：asp.Net 来源：网络整理

导读：任何人都可以了解为什么DotNetNuke配置了请求验证和禁用事件验证？对于默认安装,它们都处于web.config级别,这似乎是一种回归方法.这有什么合理的理由吗？如果它们被重新打开,对DotNetNuke的功能影响是什么？显然,应该在代码中进行适当的输入验证,但原生的.N

任何人都可以了解为什么DotNetNuke配置了请求验证和禁用事件验证？对于默认安装,它们都处于web.config级别,这似乎是一种回归方法.这有什么合理的理由吗？如果它们被重新打开,对DotNetNuke的功能影响是什么？

显然,应该在代码中进行适当的输入验证,但原生的.NET框架行为始终是一个很好的后备.

更新：在Request Validation,DotNetNuke and design utopia进一步的想法

事实证明,DotNetNuke的人已禁用此功能,以便通过富文本控件提交HTML内容.关闭请求和事件验证是设计使然.

我希望在必要时在页面级别完成此操作.全局验证绝不会免除开发人员在捕获它的每个点验证输入,但我仍然坚持认为这个功能是很好的保险并且禁用它确实会产生风险.我非常有兴趣看到有多少DNN网站因为没有全局验证和糟糕的开发实践而存在XSS漏洞.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!