在ASP.NET MVC中，您需要在web.config中设置requestValidationMode=“2.0”和validateRequest=“false”，并将ValidateInput属性应用于控制器操作：

<httpRuntime requestValidationMode="2.0"/>

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

and

[Post, ValidateInput(false)]
public ActionResult Edit(string message) {
    ...
}

这里的其他解决方案很好，但必须将[AllowHtml]应用于每个Model属性，特别是如果您在一个规模适中的网站上拥有超过100个模型，这有点麻烦。

如果像我一样，你想在整个站点范围内关闭这个（IMHO非常无意义）功能，你可以在基本控制器中重写Execute（）方法（如果你还没有基本控制器，我建议你做一个，它们对于应用公共功能非常有用）。

    protected override void Execute(RequestContext requestContext)
    {
        // Disable requestion validation (security) across the whole site
        ValidateRequest = false;
        base.Execute(requestContext);
    }

只需确保您对从用户输入输出到视图的所有内容进行了HTML编码（无论如何，这是ASP.NET MVC 3中使用Razor的默认行为，因此除非出于某种奇怪的原因，您使用HTML.Raw（），否则不应该需要此功能。

在.Net 4.0及更高版本（通常情况下）中，将以下设置放入system.web中

<system.web>
     <httpRuntime requestValidationMode="2.0" />

在web.config文件中的标记中，插入属性为requestValidationMode=“2.0”的httpRuntime元素。同时在pages元素中添加validateRequest=“false”属性。

例子：

<configuration>
  <system.web>
   <httpRuntime requestValidationMode="2.0" />
  </system.web>
  <pages validateRequest="false">
  </pages>
</configuration>

您可以对文本框内容进行HTML编码，但不幸的是，这并不能阻止异常的发生。根据我的经验，没有办法，您必须禁用页面验证。你这样做是在说：“我会小心的，我保证。”

我知道这个问题是关于表单发布的，但我想为在其他情况下收到此错误的人添加一些详细信息。它也可能发生在用于实现web服务的处理程序上。

假设您的web客户端使用ajax发送POST或PUT请求，并向web服务发送json或xml文本或原始数据（文件内容）。因为web服务不需要从Content-Type头中获取任何信息，所以JavaScript代码没有将此头设置为ajax请求。但如果您没有在POST/PUT ajax请求上设置此标头，Safari可能会添加此标头：“Content-Type:application/x-www-form-urlencoded”。我在iPhone上的Safari 6上观察到了这一点，但其他Safari版本/OS或Chrome可能也会这样做。因此，当接收到此Content-Type标头时，.NETFramework的某些部分假定请求体数据结构对应于html表单发布，而不是html表单发布，并引发HttpRequestValidationException异常。显然，要做的第一件事是在POST/PUT ajax请求中始终将Content-Type头设置为表单MIME类型以外的任何类型，即使它对web服务没有用处。

我还发现了这个细节：在这些情况下，当代码尝试访问HttpRequest.Params集合时，HttpRequestValidationException异常会出现。但令人惊讶的是，当它访问HttpRequest.ServerVariables集合时，这个异常并没有出现。这表明，虽然这两个集合看起来几乎相同，但一个通过安全检查访问请求数据，另一个则没有。