Есть ли способ использовать HtmlEncoded для значений, которые могут быть или не быть уже закодированы?
Нет, нет.
Я хотел бы предложить, чтобы вы написали быстрый скрипт, который проходит через базу данных и unencode уже закодированные данные. Затем используйте что-то вроде библиотеки Microsoft AntiXSS (учебное пособие здесь ), чтобы закодировать все выходные данные, прежде чем они попадут на веб-страницу. Помните, что хранить данные в незашифрованном виде - это нормально 1 , опасность заключается в том, что вы возвращаете их конечному пользователю.
Некоторые элементы управления уже кодируют выходные данные, используя функциональность кодирования, встроенную в .Net Framework - , которая не является пуленепробиваемой для XSS - вам просто нужно либо избегать использования этих элементов управления, либо просто не кодировать отображаемые ими данные. Существует вопрос ЧАВО, относящийся к элементам управления MS, которые кодируются внизу страницы для первой ссылки, которую вы должны прочитать. Кроме того, некоторые сторонние поставщики элементов управления кодируют выходные данные своих элементов управления, вы можете сделать себе одолжение, если протестируете их, чтобы убедиться, что они по-прежнему не подвержены XSS.
1 Не забудьте предпринять шаги для предотвращения SQL-инъекций хотя!