url内的双转义序列：请求过滤模块configuration为拒绝包含双转义序列的请求

您可能会打开的安全漏洞与代码注入有关 – HTML注入，JavaScript注入或SQL注入。

默认设置不允许共同的注入策略工作，从而使您免于半有效的攻击。 您删除的默认安全性越高，您就越需要考虑通过URL，GET请求查询string，POST请求数据，HTTP标头等提供的input操作。

例如，如果您正在基于您的操作方法的id参数构builddynamicSQL查询，如下所示：

 public ActionResult Tags(string id) { var sql = "SELECT * FROM Tags Where tagName = '" + id + "'"; // DO STUFF... } 

（…这不是一个好主意），.NET框架中的默认保护可能会阻止一些更危险的场景，比如请求这个URL的用户：

 /product/tags/1%27;drop%20table%20Tags;%20-- 

整个想法是把每一部分url和其他input的行动方法都视为可能的威胁。 默认安全设置确实为您提供了一些保护。 您更改的每个默认安全设置打开一个更多的潜在的不良情况，你需要手动处理。

当然，我假设你不是这样构buildSQL查询的。 但是，当你将用户input存储在数据库中，然后再显示它们时，就会有更多的偷偷摸摸的东西出现。 恶意用户可能会在您的数据库中存储未经编码的JavaScript或HTML，从而威胁系统的其他用户。