با سلام.
همونطور که میدونید ValidateRequest وظیفه حفظ امنیت در مقابل حملات xss رو داره.
حالا سوالی پیش میاد و اون اینکه :
در حالتی که یک کنترل سروری متنی شامل تگ های html رو ارسال کنه این ValidateRequest بهش ایراد میگیره اما در صورتی که شما توسط جاوااسکریپت و متد doPostBack__ این تگ ها رو ارسال کنید به سمت سرور (مثلا با یک button از نوع input و نه asp:button تگ های html رو ارسال کنید) ValidateRequest هیچ گونه ایرادی بهش نمیگیره. دلیلش چیه ؟
این قضیه برای امنیت مشکل ایجاد نمیکنه؟

یعنی کاربرد validationRequest فقط در مورد حالت ارسال اطلاعات از سمت سرور به سرور عمل میکنه و تگ هایی که از کلاینت به سرور فرستاده میشه رو بی خیال میشه؟

وقتی که صفحه PostBack میشه، روال های صفحه اتفاق می افتند. اگر از doPostBack__ استفاده کنی، این روال ها توسط عاملی اتفاق می افتند که ارتباطی با کنترل های صفحه نداره. در حالتی که ValidateRequest در صورتی رخ میده که یک کنترل به طور مستقیم موجب ارسال درخواست شده باشه نه از طریق یک واسط یعنی تابع جاوا اسکریپت.

موفق باشید.