I campi nascosti sono solo una convenzione lato client. Sul lato server si vedono solo stringhe di dati. Le protezioni XSS non devono variare se si tratta di un campo nascosto, di un menu a discesa o di qualsiasi altro campo di input. Ricorda, è possibile inviare semplicemente traffico HTTP non elaborato al tuo server, un browser Web semplifica il lavoro.
Quando i dati vengono recuperati dal lato server nelle variabili GET o POST, verranno trattati allo stesso modo. Quindi ogni campo deve essere controllato, in altre parole, tutti gli input forniti dall'utente devono essere convalidati. Consulta le indicazioni generali OWASP e . NET Security Guidance .
A seconda della specifica configurazione su .NET, avrai bisogno di un validatore personalizzato come un'unica tecnica.