Javascript 如果我的aspx页面不允许用户输入html，html编码有何帮助

我的aspx页面中存在XSS跨站点脚本问题。当我研究解决方案时，我发现70%的XSS问题将通过HTML编码用户输入并保存在数据库中来处理

我的设想： 大多数页面不允许html输入，即ValidateRequest=“True”。在这种情况下，HTML编码将如何帮助我们？如果我说我们应该只在允许用户输入html的情况下进行html编码，对吗

假设用户输入的html编码适用于XSS， 对所有用户输入（整个应用程序）进行html编码并保存在数据库中是一个好主意吗

---

谢谢。

我不建议将编码的html保存在数据库中。现在我使用的方法不编码用户的输入。相反，我们将在从数据库读取数据时对用户输入进行编码。您可以学习json的api，在这里可以告诉您如何编码特殊代码