似乎要解釋清楚AntiXss.HtmlEncode和HttpUtility.HtmlEncode及Server.HtmlEncode之間具體的區別有點困難,但是它們基本都可以用來防止站點受到惡意腳本注入的攻擊。按照MSDN的解釋,HtmlEncode只能用來將'<','>','&'以及'"'進行轉義,另外也包括編碼大於0x80的ASCII碼,不過這要視服務器的環境而定,不同版本的IIS轉義的情況不同。例如將站點發布到IIS6和發布到IIS7上會有區別,另外如果你只是在VS上調試Web應用程序,HtmlEncode的轉義情況也不同。
至於什么是跨站點腳本攻擊以及為什么要防止跨站點腳本攻擊?大家可以參考《博客園》的這篇文章http://www.cnblogs.com/alilang/archive/2013/01/28/2879589.html
有關AntiXss.dll的介紹,可以參考MSDN的這篇文章http://msdn.microsoft.com/en-us/library/aa973813.aspx
考慮下面這個場景:
<br /> <img id='img<%=Server.HtmlEncode(Request.QueryString["userId"])%>' src='/image.gif' /><br /> <br /> An attacker could inject client-side script here by setting userId to:' onload=alert('xss') alt='<br />
某些特定的環境下上面的HTML代碼會存在注入腳本攻擊的風險。例如用戶在請求頁面的URL后面傳遞這樣的參數:?userId=' onload=alert(xss) alt'
則頁面會成功執行所注入的腳本!原因可能在於Server.HtmlEncode並不能有效過濾掉用戶輸入中的惡意字符,同樣的情況也可能會出現在HttpUtility.HtmlEncode中。當出現這種情況的時候,考慮將其替換成AntiXss.HtmlEncode方法。