我使用的是WEB API 2。每当有人试图将脚本插入到我的API中时,我想用自定义消息抛出404或400错误,而不是500错误。
这与SO问题"获得"不同;从客户端检测到潜在危险的请求路径值(&因为我不想允许,但抛出自定义错误。
基本上,如果检测到脚本,我只想返回,如果可能的话,不执行任何控制器。
您能澄清一下为什么要这样做吗?
我建议您查看global.asax事件Application_BeginRequest((,并在此处检查自定义方法中未验证的属性。这将确保您不需要完全禁用验证并使自己处于弱势?