您还可以使用JavaScript的转义（字符串）函数来替换特殊字符。然后服务器端使用server.URLDecode（字符串）将其切换回来。

这样，您就不必关闭输入验证，其他程序员将更清楚地知道字符串可能包含HTML内容。

我认为你试图对所有发布的数据进行编码，这是从错误的角度来攻击它。

注意，“<”也可以来自其他外部源，如数据库字段、配置、文件、提要等。

此外，“<”本身并不危险。这只在特定的上下文中是危险的：当编写尚未编码为HTML输出的字符串时（因为XSS）。

在其他上下文中，不同的子字符串是危险的，例如，如果将用户提供的URL写入链接，则子字符串“javascript:”可能是危险的。另一方面，在SQL查询中插入字符串时，单引号字符是危险的，但如果它是从表单提交的名称的一部分或从数据库字段读取的名称，则完全安全。

底线是：你不能过滤危险字符的随机输入，因为任何字符在正确的情况下都可能是危险的。您应该在某些特定字符可能会变得危险的地方进行编码，因为它们交叉到具有特殊含义的不同子语言中。将字符串写入HTML时，应使用Server.HtmlEncode对HTML中具有特殊含义的字符进行编码。如果将字符串传递给动态SQL语句，则应编码不同的字符（或者更好，让框架使用准备好的语句等为您进行编码）。。

当您确定在传递字符串到HTML的任何地方都进行HTML编码时，请在<%@Page…%>中设置ValidateRequest=“false”.aspx文件中的指令。

在.NET4中，您可能需要做更多的工作。有时还需要将<httpRuntime requestValidationMode=“2.0”/>添加到web.config（参考）。

这些建议对我都不起作用。无论如何，我不想关闭整个网站的这个功能，因为99%的时间我不希望我的用户在web表单上放置HTML。我刚刚创建了自己的变通方法，因为我是唯一一个使用这个特定应用程序的人。我在后面的代码中将输入转换为HTML并将其插入数据库。

我找到了一个使用JavaScript编码数据的解决方案，数据在.NET中解码（不需要jQuery）。

使文本框成为HTML元素（如文本区域）而不是ASP元素。添加隐藏字段。将以下JavaScript函数添加到标头中。函数boo（）{targetText=document.getElementById（“HiddenField1”）；sourceText=document.getElementById（“userbox”）；targetText.value=转义（sourceText.innerText）；}

在文本区域中，包含一个调用boo（）的onchange：

<textarea id="userbox"  onchange="boo();"></textarea>

最后，在.NET中，使用

string val = Server.UrlDecode(HiddenField1.Value);

我知道这是单向的-如果你需要双向的，你必须要有创造性，但如果你不能编辑web.config，这就提供了一个解决方案

下面是我（MC9000）通过jQuery创建并使用的示例：

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

以及标记：

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

这很有效。如果黑客试图绕过JavaScript发帖，他们只会看到错误。您还可以将所有这些编码的数据保存在数据库中，然后（在服务器端）对其进行解析，并在其他地方显示之前分析和检查攻击。

我有一个Web表单应用程序在文本框注释字段中遇到了这个问题，用户有时会在其中粘贴电子邮件文本，电子邮件标题信息中的“<”和“>”字符会在其中爬行并引发此异常。

我从另一个角度解决了这个问题。。。我已经在使用Ajax控件工具包，所以我能够使用FilteredTextBoxExtender来防止这两个字符进入文本框。用户复制粘贴文本将得到他们期望的结果，减去这些字符。

<asp:TextBox ID="CommentsTextBox" runat="server" TextMode="MultiLine"></asp:TextBox>
<ajaxToolkit:FilteredTextBoxExtender ID="ftbe" runat="server" TargetControlID="CommentsTextBox" filterMode="InvalidChars" InvalidChars="<>" />

我知道这个问题是关于表单发布的，但我想为在其他情况下收到此错误的人添加一些详细信息。它也可能发生在用于实现web服务的处理程序上。

假设您的web客户端使用ajax发送POST或PUT请求，并向web服务发送json或xml文本或原始数据（文件内容）。因为web服务不需要从Content-Type头中获取任何信息，所以JavaScript代码没有将此头设置为ajax请求。但如果您没有在POST/PUT ajax请求上设置此标头，Safari可能会添加此标头：“Content-Type:application/x-www-form-urlencoded”。我在iPhone上的Safari 6上观察到了这一点，但其他Safari版本/OS或Chrome可能也会这样做。因此，当接收到此Content-Type标头时，.NETFramework的某些部分假定请求体数据结构对应于html表单发布，而不是html表单发布，并引发HttpRequestValidationException异常。显然，要做的第一件事是在POST/PUT ajax请求中始终将Content-Type头设置为表单MIME类型以外的任何类型，即使它对web服务没有用处。

我还发现了这个细节：在这些情况下，当代码尝试访问HttpRequest.Params集合时，HttpRequestValidationException异常会出现。但令人惊讶的是，当它访问HttpRequest.ServerVariables集合时，这个异常并没有出现。这表明，虽然这两个集合看起来几乎相同，但一个通过安全检查访问请求数据，另一个则没有。