对于那些不使用模型绑定、从Request.Form中提取每个参数、确信输入文本不会造成伤害的人，还有另一种方法。这不是一个很好的解决方案，但它可以解决问题。

从客户端，将其编码为uri，然后发送。例如：

encodeURIComponent($("#MsgBody").val());  

在服务器端，接受它并将其解码为uri。例如：

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Web.HttpUtility.UrlDecode(HttpContext.Current.Request.Form["MsgBody"]) : 
null;  

or

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Uri.UnescapeDataString(HttpContext.Current.Request.Form["MsgBody"]) : 
null; 

请查找UrlDecode和UnescapeDataString之间的差异

我想你可以在一个模块中完成；但这留下了一些问题；如果您想将输入保存到数据库中怎么办？突然间，由于您正在将编码数据保存到数据库中，您最终会信任来自数据库的输入，这可能是一个坏主意。理想情况下，您将原始未编码数据存储在数据库中，并每次进行编码。

在每页级别禁用保护，然后每次编码是更好的选择。

与其使用Server.HtmlEncode，不如看看Microsoft ACE团队提供的更新、更完整的反XSS库。

尝试使用

服务器编码

and

Server.Html解码同时发送和接收。

前面的答案很好，但没有人说过如何排除一个字段进行HTML/JavaScript注入的验证。我不知道以前的版本，但在MVC3 Beta版中，您可以这样做：

[HttpPost, ValidateInput(true, Exclude = "YourFieldName")]
public virtual ActionResult Edit(int id, FormCollection collection)
{
    ...
}

这仍然会验证除排除的字段之外的所有字段。这一点的好处是，您的验证属性仍然验证字段，但您没有得到“潜在危险的请求。表单值已从客户端检测到”异常。

我已经用它验证了正则表达式。我制作了自己的ValidationAttribute，以查看正则表达式是否有效。由于正则表达式可以包含类似于脚本的内容，我应用了上面的代码-正则表达式仍然在检查是否有效，但不检查是否包含脚本或HTML。

在ASP.NET中，您可以捕获异常并采取措施，例如显示友好消息或重定向到另一个页面。。。此外，您还可以自行处理验证。。。

显示友好消息：

protected override void OnError(EventArgs e)
{
    base.OnError(e);
    var ex = Server.GetLastError().GetBaseException();
    if (ex is System.Web.HttpRequestValidationException)
    {
        Response.Clear();
        Response.Write("Invalid characters."); //  Response.Write(HttpUtility.HtmlEncode(ex.Message));
        Response.StatusCode = 200;
        Response.End();
    }
}

我看到有很多关于这个的文章。。。我没有看到这一点。自.NET Framework 4.5以来，此功能一直可用

控件的ValidateRequestMode设置是一个很好的选项。这样，页面上的其他控件仍受保护。不需要更改web.config。

 protected void Page_Load(object sender, EventArgs e)
 {
     txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
 }