在启用请求验证时，asp.net开发人员是否应该注意xss？

作为内置功能，asp.net支持请求验证。那么，当启用请求验证时，asp.net开发人员是否应该处理xss？还有什么方法可以完成xss攻击吗

类似地，在使用Linq2SQL或实体框架时，我们应该注意SQL注入吗

由于asp.net和这两个ORM工具的优点，我的团队倾向于不手动过滤输入字符串

---

感谢~

首先回答sql问题，linq2sql会为您处理这个问题。只要您不是通过串接字符串（参数化查询等）来构建查询，您就是安全的

---

关于XSS，请求验证是不够的。请参见我的答案：

要首先回答sql问题，linq2sql将为您处理它。只要您不是通过串接字符串（参数化查询等）来构建查询，您就是安全的

---

关于XSS，请求验证是不够的。请看我的回答：

我认为我们不应该费心这么做，因为微软已经为我们提供了这些设施。是的，谢谢，@EdSF。您提供的链接很有用。那么，sql注入呢？归根结底，作为一名web开发人员，您必须采取的姿态是“不相信任何人”。SQL注入既是客户端的一个问题，也是如何编写查询的问题——因此，如果对它们的“网关”是用户输入，那么清理输入应该是第二天性。我认为我们不应该费心这么做，因为Microsoft已经为我们提供了这些功能。是的，谢谢，@EdSF。您提供的链接很有用。那么，sql注入呢？归根结底，作为一名web开发人员，您必须采取的姿态是“不相信任何人”。SQL注入既是客户端的一个问题，也是如何编写查询的问题——因此，如果到它们的“网关”是用户输入，那么清理输入应该是第二天性。