如果您使用的是.NET 4.0，请确保将其添加到<system.web>标记内的web.config文件中：

<httpRuntime requestValidationMode="2.0" />

在.NET 2.0中，请求验证仅适用于aspx请求。在.NET 4.0中，它被扩展为包括所有请求。通过指定以下内容，可以恢复为仅在处理.aspx时执行XSS验证：

requestValidationMode="2.0"

您可以通过指定以下内容完全禁用请求验证：

validateRequest="false"

正如我对Sel回答的评论所指出的，这是我们对自定义请求验证器的扩展。

public class SkippableRequestValidator : RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        if (collectionKey != null && collectionKey.EndsWith("_NoValidation"))
        {
            validationFailureIndex = 0;
            return true;
        }

        return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);
    }
}

在web.config文件中的标记中，插入属性为requestValidationMode=“2.0”的httpRuntime元素。同时在pages元素中添加validateRequest=“false”属性。

例子：

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>

只要这些字符只是“<”和“>”（而不是双引号本身），并且您在上下文中使用它们，例如＜input value＝“this”/>，您就安全了（而对于＜textarea＞这一个＜/textarea＞，您当然会受到攻击）。这可能会简化您的情况，但要做更多的事情，请使用其他发布的解决方案之一。

对于ASP.NET 4.0，您可以将标记全部放在＜location＞元素中，从而允许标记作为特定页面的输入，而不是整个站点的输入。这将确保所有其他页面都是安全的。您不需要在.aspx页面中放入ValidateRequest=“false”。

<configuration>
...
  <location path="MyFolder/.aspx">
    <system.web>
      <pages validateRequest="false" />
      <httpRuntime requestValidationMode="2.0" />
    </system.web>
  </location>
...
</configuration>

在web.config中控制这一点更安全，因为您可以在站点级别看到哪些页面允许标记作为输入。

您仍然需要在禁用请求验证的页面上以编程方式验证输入。

我看到有很多关于这个的文章。。。我没有看到这一点。自.NET Framework 4.5以来，此功能一直可用

控件的ValidateRequestMode设置是一个很好的选项。这样，页面上的其他控件仍受保护。不需要更改web.config。

 protected void Page_Load(object sender, EventArgs e)
 {
     txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
 }