ASP.NET offre un ulteriore livello per proteggere la tua applicazione dagli attacchi XSS e dall'iniezione in generale, che si chiama Richiedi convalida .
Nel loro argomento ufficiale, dicono che:
Even if you're using request validation, you should HTML-encode text that you get from users before you display it on a page.
Supponendo che un'applicazione web non convalidi o disinfetti i dati inviati al server ma la funzione è abilitata, come si potrebbe evitare questo strato aggiuntivo di inviare codice dannoso? Questa funzione è necessaria per un'applicazione ASP.NET?