网站建设的安全-XSS跨站脚本攻击

XSS（跨站脚本攻击）
引起缘故原由：
这个也偶然被人们称作HTML注入，和sql注入原理相似，也是没有特别字符进行处理。是用户可以提交HTML标签对网站进行重新的构造。其实在默认的情况下在asp.net网页中是开启validateRequest属性的，所有HTML标签后会.NET都会验证：

但这样直接把非常抛给用户，多少用户体验就不好。
解决方式：
（１）：通过在 Page 指令或 配置节中设置 validateRequest=false 禁用请求验证，然后我们对用户提交的数据进行HtmlEncode,编码后的就不会出现这种问题了（ASP.NET 中编码方式：Server.HtmlEncode(string)）。
（２）：第二种是过滤特别字符，这种方式就不太提倡了，假如用户想输入小于号（<）也会被过滤掉.