Различные элементы управления ASP.NET автоматически кодируют HTML с помощью HtmlEncode (а некоторые делают кодирование URL с помощью UrlEncode), но это не универсально.Вот список элементов управления и то, какую кодировку (если есть) они делают автоматически.Я не знаю, обновлено ли оно для .NET 4.0 или нет:
Какие элементы управления ASP.NET автоматически кодируют? (по этой ссылке вас попросят сохранить документ)
Это блог, из которого вышеприведенный документ:
http://blogs.msdn.com/b/sfaust/archive/2008/09/02/which-asp-net-controls-automatically-encodes.aspx
Первоначально он был опубликован в сентябре 2008 года, поэтому, вероятно, он актуален для 2.0, но не обязательно для 4.0.Тем не менее, полезный ресурс, чтобы иметь IMO.
Вы также должны взглянуть на Microsoft Anti-Cross Site Scripting Library 3.1 .
Как указывает balexandre,Похоже, что библиотека Anit-XSS теперь является частью библиотеки веб-защиты с открытым исходным кодом:
Библиотека веб-защиты Microsoft
Также OWASP являетсяхороший ресурс для информации о безопасности, и у них есть проект API безопасности предприятия (ESAPI), который доступен (в разной степени) на разных языках программирования.Я полагаю, что .NET еще не завершена.
OWASP Enterprise Security API