Почему я получаю межсайтовый скриптинг?
document.getElementById('<%= (HttpUtility.HtmlEncode(txt.sampleID)) %>').disabled = true
Я не уверен, почему он все еще отображается как уязвимость XSS, но вы также можете очистить ClientID, например, если его число просто приведёт к целому числу.