XSS攻击分为：“你的网站攻击别人的网站”或是“别人的网站攻击你的网站”两种。

　　在ASP.NET MVC里，这两种攻击情境都内建了相应的防护措施，要防止“你的网站攻击别人的网站”，可以使用Html.Encode、Url.Encode或Ajax.JavaScriptStringEncode辅助方法；

而防止“别人的网站攻击你的网站”则使用AntiForgeryToken辅助方法。

　　Html.Encode辅助方法无非就是进行Html编码；Url.Encode辅助方法无非就是进行Url编码；Ajax.JavaScriptStringEncode辅助方法就是Js字符串进行文字编码，确保输出的Js字符串

不会含有恶意XSS攻击字符串。

Ajax.JavaScriptStringEncode辅助方法例：

介绍AntiForgeryToken辅助方法：

视图代码

1 @using (Html.BeginForm()) { 2     @Html.AntiForgeryToken() 3     @Html.ValidationSummary(true) 4  5     
        
          6         
         
请输入您的账号、密码
 7  8         
         
           9             @Html.LabelFor(model => model.email)10         
         
11         
         
          12             @Html.TextBoxFor(model => model.email, new { data_val_email="请输入Email地址"})13             @Html.ValidationMessageFor(model => model.email)14         
         
15 16         
         
          17             @Html.LabelFor(model => model.password)18         
         
19         
         
          20             @Html.EditorFor(model => model.password)21             @Html.ValidationMessageFor(model => model.password)22         
         
23 24         
         
25             26         
27     
        
28 }

 

注： AntiForgeryToken辅助方法，必须以Html.BeginForm声明才行，单纯HTML的<form>标签是不行的

C#代码

1 [HttpPost] 2 [ValidateAntiForgeryToken] 3 public ActionResult Login(MemberLoginViewModel login, string returnUrl) 4 { 5     if (ValidateUser(login)) 6     { 7  8         FormsAuthentication.SetAuthCookie(login.email, false); 9 10         if (string.IsNullOrEmpty(returnUrl))11         {12             return RedirectToAction("Index", "Home");13         }14         else15         {16             return Redirect(returnUrl);17         }18     }19 20     ModelState.AddModelError("", "您输入的账号或密码错误");21     return View();22 }