问用javascript编码防止/理解xss

EN

我目前正在阅读.net MVC，并且刚刚读到了这本书的安全章节。我知道xss，我从来不信任任何用户输入，除非首先清除它(通常使用html编码，甚至类似于php的strip_tags)。到目前为止，我还不熟悉用于保护的Javascript编码字符串。书中的一个例子是用户传递了一个字符串，如下所示：

\x3cscript\x3e%20alert(\x27test\x27)\x3c/script\x3e

所以当我学到一些新的东西时，我很自然地想要测试它。我创造了这个：

public ActionResult Index()
    {
        ViewBag.test = "\x3cscript\x3e%20alert(\x27test\x27)\x3c/script\x3e";
        return View("index");
    }

并在页面上打印出测试字符串的视图代码：

@ViewBag.test

但是，我根本无法显示此警报框。当我在页面上查看源代码时，我会得到

<script>%20alert('test')</script>

我试过用几种不同的方法

1. 从查询字符串传递@ViewBag
2. 将view袋打印到现有脚本代码中(这本书就是这样得到的)
3. 用实际空格替换%20
4. 使用jquery将html替换为ViewBag.test： $(‘#inject_here’).html(‘@ViewBag.test’)

我尝试的任何东西都不会执行这段代码(我猜这是件好事？)。现在我知道这本书中不会有一部份专门讨论一些在一开始就不起作用的事情，所以问题就在我的头上。我只是不知道那是什么。有人有什么想法吗？