Web应用中，对用户的认证可以在客户端进行，也可以在服务端集中进行。（）

A.在Web应用认证中，可以通过验证码或者多次连续尝试登录失败后锁定帐号或IP来防暴力破解

B.如采用多次连续尝试登录失败后锁定帐号或IP的方式，需支持连续登录失败锁定策略的“允许连续失败的次数”可固定为一个合理的次数

C.数据在输出到客户端前必须先进行HTML编码，以防止执行恶意代码、跨站脚本攻击

D.用户产生的数据要在服务端进行校验