Asp.net 如何从HttpRequest中删除恶意数据，使其不被HttpResponse返回？

我必须防止跨站点脚本漏洞从HttpRequest头中的数据发送到HttpResponse中，以通过webapp评估

例如，HttpRequest标头：

GET /%22%20%73%54%79%4c%65%3d%58%3a%65%58%2f%2a%2a%2f%70%52%65%53%73%49%6f%4e%28% 61%6c%65%72%74%28%35%37%31%33%35%29%29%20%22 HTTP/1.1

HttpResponse位置值：

/" sTyLe=X:eX/**/pReSsIoN(%?3e3ea140

---

我的网站是一个ASP.Net网站，用VB.Net编写，运行在Windows Server 2003和IIS 6.0上。我有什么选择？我必须在IIS中使用ISAPI过滤器吗？

正确的方法是确保数据库（或您正在使用的任何源）中的数据是干净的，并确保您正在验证服务器端的所有用户输入

一旦您确认您的数据是干净的，并且所有输入都经过验证，您应该是安全的

---

不确定IIS中是否有任何内置方式。

我的问题不在于验证通过web应用程序到数据库的输入，而在于过滤http请求和/或http响应，以查找进出服务器的恶意数据。