您可以在Global.asax中捕捉到该错误。我仍然想验证，但显示了一条适当的消息。在下面列出的博客上，有一个这样的示例。

    void Application_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();

        if (ex is HttpRequestValidationException)
        {
            Response.Clear();
            Response.StatusCode = 200;
            Response.Write(@"[html]");
            Response.End();
        }
    }

重定向到另一个页面似乎也是对异常的合理响应。

http://www.romsteady.net/blog/2007/06/how-to-catch-httprequestvalidationexcep.html

我找到了一个使用JavaScript编码数据的解决方案，数据在.NET中解码（不需要jQuery）。

使文本框成为HTML元素（如文本区域）而不是ASP元素。添加隐藏字段。将以下JavaScript函数添加到标头中。函数boo（）{targetText=document.getElementById（“HiddenField1”）；sourceText=document.getElementById（“userbox”）；targetText.value=转义（sourceText.innerText）；}

在文本区域中，包含一个调用boo（）的onchange：

<textarea id="userbox"  onchange="boo();"></textarea>

最后，在.NET中，使用

string val = Server.UrlDecode(HiddenField1.Value);

我知道这是单向的-如果你需要双向的，你必须要有创造性，但如果你不能编辑web.config，这就提供了一个解决方案

下面是我（MC9000）通过jQuery创建并使用的示例：

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

以及标记：

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

这很有效。如果黑客试图绕过JavaScript发帖，他们只会看到错误。您还可以将所有这些编码的数据保存在数据库中，然后（在服务器端）对其进行解析，并在其他地方显示之前分析和检查攻击。

另一种解决方案是：

protected void Application_Start()
{
    ...
    RequestValidator.Current = new MyRequestValidator();
}

public class MyRequestValidator: RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        bool result = base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);

        if (!result)
        {
            // Write your validation here
            if (requestValidationSource == RequestValidationSource.Form ||
                requestValidationSource == RequestValidationSource.QueryString)

                return true; // Suppress error message
        }
        return result;
    }
}

我认为你试图对所有发布的数据进行编码，这是从错误的角度来攻击它。

注意，“<”也可以来自其他外部源，如数据库字段、配置、文件、提要等。

此外，“<”本身并不危险。这只在特定的上下文中是危险的：当编写尚未编码为HTML输出的字符串时（因为XSS）。

在其他上下文中，不同的子字符串是危险的，例如，如果将用户提供的URL写入链接，则子字符串“javascript:”可能是危险的。另一方面，在SQL查询中插入字符串时，单引号字符是危险的，但如果它是从表单提交的名称的一部分或从数据库字段读取的名称，则完全安全。

底线是：你不能过滤危险字符的随机输入，因为任何字符在正确的情况下都可能是危险的。您应该在某些特定字符可能会变得危险的地方进行编码，因为它们交叉到具有特殊含义的不同子语言中。将字符串写入HTML时，应使用Server.HtmlEncode对HTML中具有特殊含义的字符进行编码。如果将字符串传递给动态SQL语句，则应编码不同的字符（或者更好，让框架使用准备好的语句等为您进行编码）。。

当您确定在传递字符串到HTML的任何地方都进行HTML编码时，请在<%@Page…%>中设置ValidateRequest=“false”.aspx文件中的指令。

在.NET4中，您可能需要做更多的工作。有时还需要将<httpRuntime requestValidationMode=“2.0”/>添加到web.config（参考）。

在ASP.NET MVC（从版本3开始）中，可以将AllowHtml属性添加到模型的属性中。

它通过跳过属性的请求验证，允许请求在模型绑定期间包含HTML标记。

[AllowHtml]
public string Description { get; set; }

请记住，某些.NET控件将自动对输出进行HTML编码。例如，在TextBox控件上设置.Text属性将自动对其进行编码。这特别意味着将<转换为&lt；，>进入&gt；和&进入&amp；。所以要小心这样做。。。

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

然而，HyperLink、Literal和Label的.Text属性不会对内容进行HTML编码，因此包装Server.HtmlEncode（）；如果要防止<script>window.location=“http://www.google.com“；</script>被输出到页面并随后执行。

做一点实验，看看哪些被编码，哪些没有编码。