Я создаю некоторый динамически сгенерированный HTML
bldr.AppendLine("<a>");
string userText = user.Company;
bldr.AppendLine(userText);
bldr.AppendLine("</a>");
Как я могу гарантировать, что независимо от названия компании будет отображаться так, как должно, но также, если они попытаются ввести любой HTML-код в его имя, он просто появится в виде простого текста.
Например, если они попытались использовать имя "<script>alert("Do Bad!")</script>", то точно, что будет отображаться на странице, в виде обычного текста.
Но я также хочу, чтобы "A и C" переводили на "A\u0026 C", что и происходит, когда я использую
HttpUtility.JavaScriptStringEncode(user.Company);
Вы можете использовать тот же класс HttpUtility, который вы используете для javascript, но для html для образца:
bldr.AppendFormat("<a>{0}</a>\n", HttpUtility.HtmlEncode(user.Company));
Существует также обратный путь с использованием HttpUtility.HtmlDecode(string).
Альтернатива без зависимости от System.Web:
System.Net.WebUtility.HtmlEncode()
using System.Web;
var encoded = HttpUtility.HtmlEncode(unencoded);
Вы можете использовать метод HttpUtility.HtmlEncode:
var htmlString = HttpUtility.HtmlEncode(user.Company);