En las notas para el Paso 1 en el "How To: Prevent Cross-Site Scripting in ASP.NET" se afirma que no debe confiar en la validación de solicitud ASP.NET. Trátelo como una medida de precaución adicional además de su propia validación de entrada.¿Por qué ValidateRequest = "true" no es suficiente para la prevención de XSS?
¿Por qué no es suficiente?
+1 para la mención AntiXss, que todo el mundo debería estar usando. – slugster