这些建议对我都不起作用。无论如何，我不想关闭整个网站的这个功能，因为99%的时间我不希望我的用户在web表单上放置HTML。我刚刚创建了自己的变通方法，因为我是唯一一个使用这个特定应用程序的人。我在后面的代码中将输入转换为HTML并将其插入数据库。

我知道这个问题是关于表单发布的，但我想为在其他情况下收到此错误的人添加一些详细信息。它也可能发生在用于实现web服务的处理程序上。

假设您的web客户端使用ajax发送POST或PUT请求，并向web服务发送json或xml文本或原始数据（文件内容）。因为web服务不需要从Content-Type头中获取任何信息，所以JavaScript代码没有将此头设置为ajax请求。但如果您没有在POST/PUT ajax请求上设置此标头，Safari可能会添加此标头：“Content-Type:application/x-www-form-urlencoded”。我在iPhone上的Safari 6上观察到了这一点，但其他Safari版本/OS或Chrome可能也会这样做。因此，当接收到此Content-Type标头时，.NETFramework的某些部分假定请求体数据结构对应于html表单发布，而不是html表单发布，并引发HttpRequestValidationException异常。显然，要做的第一件事是在POST/PUT ajax请求中始终将Content-Type头设置为表单MIME类型以外的任何类型，即使它对web服务没有用处。

我还发现了这个细节：在这些情况下，当代码尝试访问HttpRequest.Params集合时，HttpRequestValidationException异常会出现。但令人惊讶的是，当它访问HttpRequest.ServerVariables集合时，这个异常并没有出现。这表明，虽然这两个集合看起来几乎相同，但一个通过安全检查访问请求数据，另一个则没有。

请记住，某些.NET控件将自动对输出进行HTML编码。例如，在TextBox控件上设置.Text属性将自动对其进行编码。这特别意味着将<转换为&lt；，>进入&gt；和&进入&amp；。所以要小心这样做。。。

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

然而，HyperLink、Literal和Label的.Text属性不会对内容进行HTML编码，因此包装Server.HtmlEncode（）；如果要防止<script>window.location=“http://www.google.com“；</script>被输出到页面并随后执行。

做一点实验，看看哪些被编码，哪些没有编码。

前面的答案很好，但没有人说过如何排除一个字段进行HTML/JavaScript注入的验证。我不知道以前的版本，但在MVC3 Beta版中，您可以这样做：

[HttpPost, ValidateInput(true, Exclude = "YourFieldName")]
public virtual ActionResult Edit(int id, FormCollection collection)
{
    ...
}

这仍然会验证除排除的字段之外的所有字段。这一点的好处是，您的验证属性仍然验证字段，但您没有得到“潜在危险的请求。表单值已从客户端检测到”异常。

我已经用它验证了正则表达式。我制作了自己的ValidationAttribute，以查看正则表达式是否有效。由于正则表达式可以包含类似于脚本的内容，我应用了上面的代码-正则表达式仍然在检查是否有效，但不检查是否包含脚本或HTML。

我找到了一个使用JavaScript编码数据的解决方案，数据在.NET中解码（不需要jQuery）。

使文本框成为HTML元素（如文本区域）而不是ASP元素。添加隐藏字段。将以下JavaScript函数添加到标头中。函数boo（）{targetText=document.getElementById（“HiddenField1”）；sourceText=document.getElementById（“userbox”）；targetText.value=转义（sourceText.innerText）；}

在文本区域中，包含一个调用boo（）的onchange：

<textarea id="userbox"  onchange="boo();"></textarea>

最后，在.NET中，使用

string val = Server.UrlDecode(HiddenField1.Value);

我知道这是单向的-如果你需要双向的，你必须要有创造性，但如果你不能编辑web.config，这就提供了一个解决方案

下面是我（MC9000）通过jQuery创建并使用的示例：

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

以及标记：

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

这很有效。如果黑客试图绕过JavaScript发帖，他们只会看到错误。您还可以将所有这些编码的数据保存在数据库中，然后（在服务器端）对其进行解析，并在其他地方显示之前分析和检查攻击。

解决方案

我不想关闭后验证（validateRequest=“false”）。另一方面，应用程序崩溃是不可接受的，因为一个无辜的用户碰巧键入了<x或其他内容。

因此，我编写了一个客户端javascript函数（xssCheckValidates），用于进行初步检查。当试图发布表单数据时，调用此函数，如下所示：

<form id="form1" runat="server" onsubmit="return xssCheckValidates();">

该功能非常简单，可以改进，但它正在发挥作用。

请注意，这样做的目的不是为了保护系统免受黑客攻击，而是为了保护用户免受不良体验。在服务器上完成的请求验证仍处于打开状态，这是系统保护的一部分（在一定程度上它能够做到这一点）。

我之所以在这里说“部分”，是因为我听说内置的请求验证可能还不够，所以可能需要其他补充手段来提供充分的保护。但是，我这里介绍的javascript函数与保护系统无关。这只是为了确保用户不会有糟糕的体验。

你可以在这里试试：

函数xssCheckValidates（）{var有效=真；var inp=document.querySelectorAll(“输入：not（：禁用）：not（[readonly]）：not（[type=hidden]）”+“，textarea:not（：禁用）：not（[readonly]）”）；对于（变量i=0；i<inp.length；i++）{if（！inp[i].readOnly）{如果（inp[i].value.indexOf（'<'）>-1）{有效=假；打破}如果（inp[i].value.indexOf（'&#'）>-1）{有效=假；打破}}}if（有效）{返回true；}其他{alert（'在一个或多个文本字段中，您键入了\r\n字符“<”或字符序列“&#”。\r\n\r\n遗憾的是，这是不允许的，因为它可用于黑客尝试。\r\n\r\n请编辑字段并重试。'）；return false；}}<form onsubmit=“return xssCheckValidates（）；”>尝试键入<或&#<br/><input-type=“text”/><br/><textarea></textarea><input-type=“submit”value=“Send”/></form>