Когда вы позвоните Microsoft.Security.Application.AntiXss.HtmlEncode
? Вы делаете это, когда пользователь отправляет информацию, или вы делаете это, когда отображаете информацию?
Как насчет базовых вещей, таких как имя, фамилия, город, штат, почтовый индекс?