Web开发中不可避免的要防止XSS，防止XSS当然要进行Encode（这里是广义，表示Encode和过滤掉特殊标签，下面不再解释），分为输出和输入。各有用处，比如，您提交保存并显示一块内容，那么多数情况下，您需要对输出进行Encode；对于搜索功能，您需要对查询条件进行（输入）Encode，例如：当在查询参数里面输入<scrpit>之类的东西时候您可能需要去掉它，得到所谓安全的参数，也