Active Server Pages/防止用户输入（XSS 攻击）

为了保护您的用户免受跨站脚本 (XSS) 和类似攻击，您应该对 URL 和用户提交的文本进行转义。在 ASP 中，这是通过两个函数完成的Server.HTMLEncode，和Server.URLEncode.

不要输出未转义的用户数据

Response.write user_data 'not safe

相反，请执行以下操作

Response.write Server.HTMLEncode( user_data )

此方法也应用于来自 SQL 的所有数据。安全总比后悔好。

要对插入到 A 标签的 href 属性中的 URL 进行编码，请使用Server.URLEncode函数，例如

<a href="http://foobar.com?<%= Server.URLEncode( "foo=bar" + "&baz=quz" ) %>">