asp.net – 为什么Glimpse会禁用请求验证？

例如这个恶意网址：

http://website/?foo=<script>

…应该导致以下错误：

A potentially dangerous Request.QueryString value was detected from the client (foo=”<script>”).

但是,一旦Glimpse在web.config“modules”部分注册,就不会发生请求验证(即使Glimpse已关闭),也会使网站对跨站点脚本攻击(XSS)开放.

如果我删除了注册Glimpse的行,那么请求验证会立即正常工作：在IIS 7.5中,如下所示：

<system.webServer>
    <modules>
        <add name="Glimpse" type="Glimpse.AspNet.HttpModule,Glimpse.AspNet" preCondition="integratedMode" />
    </modules>

有没有办法解决这个问题,或者这是Glimpse中的一个错误？

更新1：

我现在已经验证了如果我将Glimpse全新安装到一个不相关的项目(运行ASP.NET 4.5.1)中,问题就会发生,因此它与原始项目不兼容.我没有更改任何设置,我只是从NuGet安装它,问题立即显现.

我也注意到我通过设置< glimpse defaultRuntimePolicy =“Off”/>来瞥见了.在Web.config中,然后请求验证也正常启动.