我知道这个问题是关于表单发布的，但我想为在其他情况下收到此错误的人添加一些详细信息。它也可能发生在用于实现web服务的处理程序上。

假设您的web客户端使用ajax发送POST或PUT请求，并向web服务发送json或xml文本或原始数据（文件内容）。因为web服务不需要从Content-Type头中获取任何信息，所以JavaScript代码没有将此头设置为ajax请求。但如果您没有在POST/PUT ajax请求上设置此标头，Safari可能会添加此标头：“Content-Type:application/x-www-form-urlencoded”。我在iPhone上的Safari 6上观察到了这一点，但其他Safari版本/OS或Chrome可能也会这样做。因此，当接收到此Content-Type标头时，.NETFramework的某些部分假定请求体数据结构对应于html表单发布，而不是html表单发布，并引发HttpRequestValidationException异常。显然，要做的第一件事是在POST/PUT ajax请求中始终将Content-Type头设置为表单MIME类型以外的任何类型，即使它对web服务没有用处。

我还发现了这个细节：在这些情况下，当代码尝试访问HttpRequest.Params集合时，HttpRequestValidationException异常会出现。但令人惊讶的是，当它访问HttpRequest.ServerVariables集合时，这个异常并没有出现。这表明，虽然这两个集合看起来几乎相同，但一个通过安全检查访问请求数据，另一个则没有。

您应该使用Server.HtmlEncode方法来保护您的站点免受危险输入。

此处有更多信息

如何在ASP.NET 4.6.2中修复AjaxExtControls的此问题：

我们在AjaxExtControls富文本编辑器中遇到了同样的问题。此问题在从.NET 2.0升级到.NET 4.5后立即开始。我查看了SOF的所有答案，但没有找到一个不损害.NET4.5提供的安全性的解决方案。

修复1（不推荐，因为它会降低应用程序的安全性）：我在requestValidationMode=“2.0，它起了作用，但我担心安全特性。因此，这是一个修复，就像降低了整个应用程序的安全性。

修复2（推荐）：由于这个问题只发生在AjaxExtControl中的一个，我最终能够使用下面的简单代码解决这个问题：

editorID.value = editorID.value.replace(/>/g, ">");
editorID.value = editorID.value.replace(/</g, "&lt;");

在向服务器发送请求之前，在客户端（javascript）上执行此代码。注意，editorID不是我们在html.aspx页面上的ID，而是AjaxExtControl内部使用的富文本编辑器的ID。

对于那些不使用模型绑定、从Request.Form中提取每个参数、确信输入文本不会造成伤害的人，还有另一种方法。这不是一个很好的解决方案，但它可以解决问题。

从客户端，将其编码为uri，然后发送。例如：

encodeURIComponent($("#MsgBody").val());  

在服务器端，接受它并将其解码为uri。例如：

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Web.HttpUtility.UrlDecode(HttpContext.Current.Request.Form["MsgBody"]) : 
null;  

or

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Uri.UnescapeDataString(HttpContext.Current.Request.Form["MsgBody"]) : 
null; 

请查找UrlDecode和UnescapeDataString之间的差异

如果您使用的是ASP.NET MVC，则此错误有一种不同的解决方案：

ASP.NET MVC–pages validateRequest=false不起作用？为什么ValidateInput（False）不工作？ASP.NET MVC RC1，VALIDATEINPUT，一个潜在的危险请求和陷阱

C#示例：

[HttpPost, ValidateInput(false)]
public ActionResult Edit(FormCollection collection)
{
    // ...
}

Visual Basic示例：

<AcceptVerbs(HttpVerbs.Post), ValidateInput(False)> _
Function Edit(ByVal collection As FormCollection) As ActionResult
    ...
End Function

解决方案

我不想关闭后验证（validateRequest=“false”）。另一方面，应用程序崩溃是不可接受的，因为一个无辜的用户碰巧键入了<x或其他内容。

因此，我编写了一个客户端javascript函数（xssCheckValidates），用于进行初步检查。当试图发布表单数据时，调用此函数，如下所示：

<form id="form1" runat="server" onsubmit="return xssCheckValidates();">

该功能非常简单，可以改进，但它正在发挥作用。

请注意，这样做的目的不是为了保护系统免受黑客攻击，而是为了保护用户免受不良体验。在服务器上完成的请求验证仍处于打开状态，这是系统保护的一部分（在一定程度上它能够做到这一点）。

我之所以在这里说“部分”，是因为我听说内置的请求验证可能还不够，所以可能需要其他补充手段来提供充分的保护。但是，我这里介绍的javascript函数与保护系统无关。这只是为了确保用户不会有糟糕的体验。

你可以在这里试试：

函数xssCheckValidates（）{var有效=真；var inp=document.querySelectorAll(“输入：not（：禁用）：not（[readonly]）：not（[type=hidden]）”+“，textarea:not（：禁用）：not（[readonly]）”）；对于（变量i=0；i<inp.length；i++）{if（！inp[i].readOnly）{如果（inp[i].value.indexOf（'<'）>-1）{有效=假；打破}如果（inp[i].value.indexOf（'&#'）>-1）{有效=假；打破}}}if（有效）{返回true；}其他{alert（'在一个或多个文本字段中，您键入了\r\n字符“<”或字符序列“&#”。\r\n\r\n遗憾的是，这是不允许的，因为它可用于黑客尝试。\r\n\r\n请编辑字段并重试。'）；return false；}}<form onsubmit=“return xssCheckValidates（）；”>尝试键入<或&#<br/><input-type=“text”/><br/><textarea></textarea><input-type=“submit”value=“Send”/></form>