摘要： 1、 控制所有的输入不要禁止ASP.NET系统验证机制（即不要把ValidateRequest设为False），如果确实需要禁止验证，只在需要的地方执行。（防止XSS攻击）在所有的输入启用服务器端验证控件（Range, RequiredField,Custon or RegularExpression）2、 不要向客户端返回未过滤的数据在向客户端返回数据前使用HttpUtility.HtmlEnc... 阅读全文