Server.HtmlEncode()
此方法会将输入参数中含有“<”、“>”、“&”等HTML标签含义的字符转义为非HTML编码的字符,如“<”、“>”、“&”等,这样参数就不会被解析为HTML内容。
注:“<”、“>”、“&”在HTML中会被当做HTML标签,解析为HTML相关内容
而“<”、“>”、“&”在HTML中会直接被解析为“<”、“>”、“&”等字符,没有HTML含义。
Server.HtmlDecode()
此方法是Server.HtmlEncode()的反过程。
可以使用以上方法防止恶意代码,如读取用户TextBox输入内容,需要通过Server.HtmlEncode()方法转义再输出。