XSS漏洞

   咱们能够对请求的数据作检测，若是请求数据中有< 等就认为是恶意请求，禁止提交。aspx默认就是采用这种策略，这样作的缺点是若是作的是程序员论坛，程序员就没法发飙HTML代码的帖子了，所以更好的处理策略是将用户发表的内容按照原样显示出来，而不是以HTML的方式显示出来。使用HttpUtility.HtmlEncode就能够将字符串中的< 、/等特殊字符转换为HTML显示的字符，也就是不把<script>当成定义脚本的标签，而是当成&lt、script&gt;这样能够在页面上直接显示出来的内容