摘要： 一、XSS攻击 默认情况下，从@表达式生成的所有文本都是HTML编码过的，但由于某些情况下要显示HTML文本时，必须对于进行白名单过滤。 使用微软的HtmlSanitizationLibrary.Dll库进行白名单过滤 Sanitizer.GetSafeHtmlFragment(InputHtml);二、SQL注入 对所有的SQL语句及参数进行全面的过滤三、防止CSRF（跨网站请求伪造），只针对POST请求 Action前加入[ValidateAntiForgeryToken(Salt ="密钥")] 在Form表单中加入@Html.AntiForgeryToken(&qu 阅读全文