XSS漏洞

   咱們能夠對請求的數據作檢測，若是請求數據中有< 等就認爲是惡意請求，禁止提交。aspx默認就是採用這種策略，這樣作的缺點是若是作的是程序員論壇，程序員就沒法發飆HTML代碼的帖子了，所以更好的處理策略是將用戶發表的內容按照原樣顯示出來，而不是以HTML的方式顯示出來。使用HttpUtility.HtmlEncode就能夠將字符串中的< 、/等特殊字符轉換爲HTML顯示的字符，也就是不把<script>當成定義腳本的標籤，而是當成&lt、script&gt;這樣能夠在頁面上直接顯示出來的內容