HttpUtility.HtmlEncode、HttpUtility-HtmlDecode、AntiXSS库，并正确格式

我正在尝试开发一个安全的web应用程序，它可以接受表单数据，将其编码到数据库中以消除跨站点脚本问题，然后在其他网页上很好地格式化它。

正在使用对表单数据进行编码

HttpUtility.HtmlEncode('It's my wedding!')

这种工作的一个例子是有人在文本框中输入"这是我的婚礼！"。这将进入格式化为的数据库

它'；这是我的婚礼！

如果我把它从数据库中提取出来，并使用.NET文字控件显示它，它的显示方式与此完全相同，撇号仍在屏幕上编码。

网络浏览器解释&作为&符号和&copy；作为版权符号-为什么他们不解释代码'；作为撇号？

说我然后使用：

HttpUtility.HtmlDecode('It's my wedding!');

这将解决我的撇号问题，但如果我使用HtmlDecode方法，当有人设法将恶意javascript注入该字段时，例如：

It's my wedding!<script type="text/javascript">alert('XSS!');</script>

它还将解码编码的javascript，然后执行攻击。如果是这种情况，我们为什么首先使用HttpUtility.HtmlEncode((？

我看到有人在http://wpl.codeplex.com/，但由于用户无法修改其提供的白名单，它的质量和有效性似乎受到了可怕的评价。

您应该如何安全地对HTML进行编码并允许其显示，同时防止XSS攻击？剥离/编码标签是唯一的解决方案吗？

大家以前是怎么处理的？

谢谢！

Karl