System.Web.HttpRequestValidationException是用来处理异常输入数据类。但发生此异常时我们会看到如下错误。
从客户端(email="...d.cc@cc.cc<script>")中检测到有潜在危险的 Request.Form 值。
可以通过设置validateRequest 为false来不使用这个异常,但这样是非常不安全的,一不小心就造成了XSS。
正确的处理途径:
在客户端过滤“<”,“>”和“&”,然后在后台捕HttpRequestValidationException异常。当有恶意输入时,即可做出一定的处理。可以使用Server.HtmlEncode()方法,你可以把字符串中的“〈〉 &”转化为安全的HTML源代码。