如果您确实需要特殊字符，如，>，<等，请禁用页面验证。然后确保在显示用户输入时，数据是HTML编码的。

页面验证存在安全漏洞，因此可以绕过它。此外，不应仅依赖页面验证。

参见：http://web.archive.org/web/20080913071637/http://www.procheckup.com:80/PDFs/bypassing-dot-NET-ValidateRequest.pdf

您可以对文本框内容进行HTML编码，但不幸的是，这并不能阻止异常的发生。根据我的经验，没有办法，您必须禁用页面验证。你这样做是在说：“我会小心的，我保证。”

我知道这个问题是关于表单发布的，但我想为在其他情况下收到此错误的人添加一些详细信息。它也可能发生在用于实现web服务的处理程序上。

假设您的web客户端使用ajax发送POST或PUT请求，并向web服务发送json或xml文本或原始数据（文件内容）。因为web服务不需要从Content-Type头中获取任何信息，所以JavaScript代码没有将此头设置为ajax请求。但如果您没有在POST/PUT ajax请求上设置此标头，Safari可能会添加此标头：“Content-Type:application/x-www-form-urlencoded”。我在iPhone上的Safari 6上观察到了这一点，但其他Safari版本/OS或Chrome可能也会这样做。因此，当接收到此Content-Type标头时，.NETFramework的某些部分假定请求体数据结构对应于html表单发布，而不是html表单发布，并引发HttpRequestValidationException异常。显然，要做的第一件事是在POST/PUT ajax请求中始终将Content-Type头设置为表单MIME类型以外的任何类型，即使它对web服务没有用处。

我还发现了这个细节：在这些情况下，当代码尝试访问HttpRequest.Params集合时，HttpRequestValidationException异常会出现。但令人惊讶的是，当它访问HttpRequest.ServerVariables集合时，这个异常并没有出现。这表明，虽然这两个集合看起来几乎相同，但一个通过安全检查访问请求数据，另一个则没有。

如何在ASP.NET 4.6.2中修复AjaxExtControls的此问题：

我们在AjaxExtControls富文本编辑器中遇到了同样的问题。此问题在从.NET 2.0升级到.NET 4.5后立即开始。我查看了SOF的所有答案，但没有找到一个不损害.NET4.5提供的安全性的解决方案。

修复1（不推荐，因为它会降低应用程序的安全性）：我在requestValidationMode=“2.0，它起了作用，但我担心安全特性。因此，这是一个修复，就像降低了整个应用程序的安全性。

修复2（推荐）：由于这个问题只发生在AjaxExtControl中的一个，我最终能够使用下面的简单代码解决这个问题：

editorID.value = editorID.value.replace(/>/g, ">");
editorID.value = editorID.value.replace(/</g, "&lt;");

在向服务器发送请求之前，在客户端（javascript）上执行此代码。注意，editorID不是我们在html.aspx页面上的ID，而是AjaxExtControl内部使用的富文本编辑器的ID。

如果你只是想告诉你的用户不使用<和>，但是，你不希望在手写之前处理/返回整个表单（并丢失所有输入），你能简单地在字段周围放置一个验证器来筛选这些（以及其他潜在危险的）字符吗？

我找到了一个使用JavaScript编码数据的解决方案，数据在.NET中解码（不需要jQuery）。

使文本框成为HTML元素（如文本区域）而不是ASP元素。添加隐藏字段。将以下JavaScript函数添加到标头中。函数boo（）{targetText=document.getElementById（“HiddenField1”）；sourceText=document.getElementById（“userbox”）；targetText.value=转义（sourceText.innerText）；}

在文本区域中，包含一个调用boo（）的onchange：

<textarea id="userbox"  onchange="boo();"></textarea>

最后，在.NET中，使用

string val = Server.UrlDecode(HiddenField1.Value);

我知道这是单向的-如果你需要双向的，你必须要有创造性，但如果你不能编辑web.config，这就提供了一个解决方案

下面是我（MC9000）通过jQuery创建并使用的示例：

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

以及标记：

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

这很有效。如果黑客试图绕过JavaScript发帖，他们只会看到错误。您还可以将所有这些编码的数据保存在数据库中，然后（在服务器端）对其进行解析，并在其他地方显示之前分析和检查攻击。