.Net tiene una función llamada validación de solicitud que detecta entradas maliciosas y bloquea la solicitud.
Por su naturaleza, la validación de solicitudes no es una ciencia precisa. OWASP recomienda solo confiar en la validación de la solicitud como defensa en profundidad, no como un límite de seguridad.
Estoy actualizando un curso de capacitación en seguridad .net, y me gusta incluir un ejemplo de por qué no debería confiar en la validación de solicitudes. Claro, podría decirles a los alumnos que "no lo hagan", pero un ejemplo es muy poderoso.
Encontré que la validación de solicitud en .Net 4.5 se ha ajustado y mis métodos anteriores de omitirla ya no funcionan. ¿Existen formas públicamente conocidas de omitir la validación de solicitud de .Net 4.5 para XSS? El enlace más reciente que encontré fue this .