虽然这个问题已经有七个月了,但是如果有其他人遇到这样的情况,这是一个答案。
关于问题的安全性部分,默认情况下,relaxedUrlToFileSystemMapping设置为false,并且ASP .NET假定URL的路径部分是有效的NTFS文件路径。如果通过将relaxedUrlToFileSystemMapping设置为true来禁用此功能,那么您可能会打开站点以进行攻击,因为您正在禁用ASP .NET提供的默认保护。
如果您绝对需要将relaxedUrlToFileSystemMapping设置为true,那么您还应该确保在应用程序要求的约束范围内验证所有URL。