摘要： ASP.NET在检测XSS跨站脚本攻击时，会将查询字符串解码，然后调用System.Web.CrossSiteScriptingValidation.IsDangerousString()进行检查。所以任何对查询字符串中的尖括号进行直接的UrlEncode编码操作（比如Javascript的encodeURIComponent, escape, encodeURI）都无法逃过ASP.NET的检查。 阅读全文