残念ながら、データ バインド構文にはまだエンコード構文が組み込まれていません。次のバージョンの ASP.NET には <%#: %> として組み込まれる予定です。それまでは、次の構文を使用してください。 <%# Server.HtmlEncode(Eval("PropertyName")) %> 使用するコントロールを知るのは重要です。データを HTML でエンコードするコントロールと、エンコードしないコントロールについて確認するようにしてください。たとえば、TextBox コントロールは表示される出力を HTML でエンコードしますが、LiteralControl はエンコードしません。これは重要な区別です。以下のテキストが代入されるテキスト ボックスについて考えてみましょう。 yourTextBoxControl.Text = "Test <script>alert('bip')</s
![ASP.NET のセキュリティ - ASP.NET アプリケーションを保護する](https://cdn-ak-scissors.b.st-hatena.com/image/square/d6e4cb632c7025e9f5e05fd314fbf6dcd6144e8d/height=288;version=1;width=512/https%3A%2F%2Flearn.microsoft.com%2Fen-us%2Fmedia%2Fopen-graph-image.png)