几个月前通过Veracode对代码进行动态和静态安全扫描，扫出了数以千计的安全bug，基本上都是top 10的,安全漏洞. 其中CWE80,CWE601数量最多.具体CWE的定义可参考http://cwe.mitre.org/ 。

 正好手上有Beginning Asp.Net Security这本书，所以就看了看。所有的安全漏洞都源于非法用户的输入，所以任何应用程序或业务系统都需要在一定范围内设置安全边界。

 在安全边界以外，接受任何用户输入都应该认为是不安全的，而黑客也是通过用户变量的进行代入达到攻击的目的,所以在接受用户输入的时候需要加入校验。在Asp.Net中对于Request默认是有验证的，在发送任何发送Request的http runtime时候都会验证请求中的form内容，如果request中有危险字符

我们可以得到如图黄页错误。我们可以通过下面设置取消在http runtime的验证