嘿，这个问题我之前帮不少开发者排查过——Veracode报XSS是因为你直接用.html()把后端返回的Partial View插入DOM，一旦返回的HTML里包含用户可控的未编码内容（比如恶意脚本），浏览器就会直接执行，这就是典型的XSS风险点。

下面是具体的修复方案，按优先级排序：

1. 后端Partial View严格编码用户输入（最核心修复） #

这是解决问题的根本：确保Partial View中所有来自用户的内容都经过HTML编码，彻底阻止脚本被解析执行。在ASP.NET Razor视图里：

• 用默认Razor语法输出内容，比如@Model.TransNo或@Html.DisplayFor(m => m.TransNo)，Razor会自动把<、>、&等特殊字符转义成HTML实体，恶意脚本会被当成纯文本显示。
• 绝对不要用@Html.Raw()输出用户可控内容，除非你已经用专业的净化库（比如Microsoft的AntiXSS库）对内容做了严格过滤。

示例正确的Partial View写法：

<div class="trans-info">
    <p>交易编号：@Model.TransNo</p>
    <p>交易状态：@Html.DisplayFor(m => m.Status)</p>
</div>

2. 前端可选：对返回HTML做二次净化（辅助防护） #

如果因为业务限制无法完全控制后端输出，可以给前端加一层额外防护，用HTML净化库（比如DOMPurify）过滤返回内容中的恶意代码后再插入：

修改Ajax的success回调：

success: function(response) {
    // 净化HTML，移除所有恶意脚本和危险标签
    var safeHtml = DOMPurify.sanitize(response);
    // 插入净化后的内容到容器
    $("[data-view-trans-no-container]").html(safeHtml);
}

注意：前端净化只能作为补充，后端编码才是最可靠的防线——前端库可能存在版本漏洞，恶意内容也可能绕过前端过滤。

3. 确认AntiForgeryToken的后端验证 #

虽然这和XSS没有直接关联，但确保后端的ReturnTransNoInformation方法加上[ValidateAntiForgeryToken]特性，防止CSRF攻击，完善整体安全体系：

[HttpPost]
[ValidateAntiForgeryToken]
public ActionResult ReturnTransNoInformation(string TransNo)
{
    // 业务逻辑：获取交易信息并返回Partial View
    var model = GetTransactionDetails(TransNo);
    return PartialView("_TransNoInfo", model);
}

最后再划个重点：XSS的核心风险是未编码的用户可控内容被浏览器解析执行，所以后端在渲染Partial View时的编码处理，才是解决Veracode警报的关键。

内容的提问来源于stack exchange，提问作者Andrew