ASP.NET ofrece una capa adicional para proteger su aplicación de ataques e inyecciones XSS en general, que se llama Validación de solicitud .
En su tema oficial, mencionan que:
Incluso si está utilizando la validación de solicitudes, debe codificar el texto HTML que recibe de los usuarios antes de mostrarlo en una página.
Suponiendo que una aplicación web no valida ni desinfecta ningún dato enviado al servidor, pero tiene la función habilitada, ¿cómo podría uno omitir esta capa adicional para enviar código malicioso? ¿Es esta característica necesaria para una aplicación ASP.NET?