.Net ha una funzione chiamata richiesta di convalida che rileva input dannosi e blocca la richiesta.
Per sua natura, la richiesta di convalida non è una scienza precisa. OWASP consiglia vivamente di fare affidamento solo sulla convalida delle richieste come difesa in profondità, non come limite di sicurezza.
Sto aggiornando un corso di formazione sulla sicurezza .net e mi piace includere un esempio del perché non si debba fare affidamento sulla convalida della richiesta. Certo, potrei dire ai tirocinanti "non farlo" - ma un esempio è molto potente.
Ho riscontrato che la convalida della richiesta in .Net 4.5 è stata rafforzata e che i miei precedenti metodi di esclusione non funzionano più. Esistono modi pubblicamente noti per aggirare la convalida della richiesta .Net 4.5, per XSS? Il link più recente che ho trovato è stato questo .