asp.net - URLにパラメータとして「<」を渡すことができません

Question

URLのパラメータとして「<」文字を渡せないのはなぜですか？私が行った場合：

http://localhost:9566/?myVar=2 それは大丈夫です

しかし、私はできません：

http://localhost:9566/?myVar=<foo>なぜこれでエラーが発生するのですか？

URLエンコードする<foo>と、が取得され%3Cfoo%3Eます。

そして、私がそうするときhttp://localhost:9566/?myVar=%3Cfoo%3E、私はまだ同じエラーを受け取ります：

Answer 1

これは仕様によるものです。渡そうとしている文字は、クロスサイトスクリプティング（XSS）攻撃で使用される可能性があります。

XSSとは何かを理解するためのリンクを次に示します。

• https://www.owasp.org/index.php/Cross-site_Scripting_%28XSS%29
• http://www.cgisecurity.com/xss-faq.html

このタイプの検証を無効にすることはできますが、お勧めしません。クエリ文字列パラメータでタグを渡す必要が本当にありますか？