私は新しい ASP.NET 開発者であり、講師から安全な Web サイトまたは Web ベースのアプリケーションの開発を強制されました。最初のアプリケーションを提出した後、彼はアプリケーションがクロスサイト スクリプティングに対して脆弱であると言い、アプリケーションへの URL を次のように変更するように依頼することでそれを証明しました。
http://localhost/testapp/default.aspx
に
http://localhost/testapp/default.aspx?--></script><script>alert(30999)</script>
30999 を示すポップアップ ウィンドウが表示されました。
では、この種の脆弱性を防ぐにはどうすればよいでしょうか。
Web で検索したところ、ASP.NET の RequestValidate 機能がこの種の攻撃を防ぐはずであることがわかりましたが、なぜ私の状況では機能しなかったのでしょうか。