據對MSDN AntiXss.UrlEncode舊AntiXss物品用於編碼鏈路HREF(在下面的例子中不可信輸入):AntiXss.UrlEncode與在鏈路AntiXss.HtmlAttributeEncode使用(A HREF)
<a href="http://search.msn.com/results.aspx?q=[Untrusted-input]">Click Here!</a>
我的理解是,UrlEncode只能在設置URL到URL時才使用,就像使用JS設置document.location一樣。那麼爲什麼我在前面的例子中不使用HtmlAttributeEncode來編碼[Untrusted-input]呢?另一方面,如果使用UrlEncode對HTML屬性進行編碼,那麼是否存在安全缺陷?