xss过滤问题

最近手头在做一个asp老系统的xss脆弱性对应。 暂定的对应方案是，在服务器端把特殊字符转义在返回客户端浏览器，比如:< 转义为 < 。但遇到了一个问题，请各位大神赐教。 设计的时候是准备在服务器端加两个方法， 方法一，把客户端传来的参数里包含的特殊字符转义传回客户端。 方法二，把客户端传回服务器端准备存DB的数据中包含的转义字符转回本来的样子，在进行半角变全角无害化之后存库。 实际运用中发现，方法一达到预期效果，但方法二好像没有必要，好像客户端传回服务器的参数中如果包含了转义字符，在服务器端解析取值的时候会变成转义前的样子。 想找一些理论依据但始终没找到，请问各位大神，包含转义字符的参数值post回服务器后，转义字符变回原来的样子是浏览器还是服务器的功能？主流的浏览器都是这样吗？