如果您确实需要特殊字符，如，>，<等，请禁用页面验证。然后确保在显示用户输入时，数据是HTML编码的。

页面验证存在安全漏洞，因此可以绕过它。此外，不应仅依赖页面验证。

参见：http://web.archive.org/web/20080913071637/http://www.procheckup.com:80/PDFs/bypassing-dot-NET-ValidateRequest.pdf

即使在将<httpRuntime requestValidationMode=“2.0”>添加到web.config之后，我仍然在使用WIF进行身份验证的应用程序中收到错误。为我解决的是在<system.web>元素中添加<sessionState mode=“InProc”cookieless=“UseUri”/>。

我想你可以在一个模块中完成；但这留下了一些问题；如果您想将输入保存到数据库中怎么办？突然间，由于您正在将编码数据保存到数据库中，您最终会信任来自数据库的输入，这可能是一个坏主意。理想情况下，您将原始未编码数据存储在数据库中，并每次进行编码。

在每页级别禁用保护，然后每次编码是更好的选择。

与其使用Server.HtmlEncode，不如看看Microsoft ACE团队提供的更新、更完整的反XSS库。

我有一个Web表单应用程序在文本框注释字段中遇到了这个问题，用户有时会在其中粘贴电子邮件文本，电子邮件标题信息中的“<”和“>”字符会在其中爬行并引发此异常。

我从另一个角度解决了这个问题。。。我已经在使用Ajax控件工具包，所以我能够使用FilteredTextBoxExtender来防止这两个字符进入文本框。用户复制粘贴文本将得到他们期望的结果，减去这些字符。

<asp:TextBox ID="CommentsTextBox" runat="server" TextMode="MultiLine"></asp:TextBox>
<ajaxToolkit:FilteredTextBoxExtender ID="ftbe" runat="server" TargetControlID="CommentsTextBox" filterMode="InvalidChars" InvalidChars="<>" />

我认为你试图对所有发布的数据进行编码，这是从错误的角度来攻击它。

注意，“<”也可以来自其他外部源，如数据库字段、配置、文件、提要等。

此外，“<”本身并不危险。这只在特定的上下文中是危险的：当编写尚未编码为HTML输出的字符串时（因为XSS）。

在其他上下文中，不同的子字符串是危险的，例如，如果将用户提供的URL写入链接，则子字符串“javascript:”可能是危险的。另一方面，在SQL查询中插入字符串时，单引号字符是危险的，但如果它是从表单提交的名称的一部分或从数据库字段读取的名称，则完全安全。

底线是：你不能过滤危险字符的随机输入，因为任何字符在正确的情况下都可能是危险的。您应该在某些特定字符可能会变得危险的地方进行编码，因为它们交叉到具有特殊含义的不同子语言中。将字符串写入HTML时，应使用Server.HtmlEncode对HTML中具有特殊含义的字符进行编码。如果将字符串传递给动态SQL语句，则应编码不同的字符（或者更好，让框架使用准备好的语句等为您进行编码）。。

当您确定在传递字符串到HTML的任何地方都进行HTML编码时，请在<%@Page…%>中设置ValidateRequest=“false”.aspx文件中的指令。

在.NET4中，您可能需要做更多的工作。有时还需要将<httpRuntime requestValidationMode=“2.0”/>添加到web.config（参考）。

如果您使用的是.NET 4.0，请确保将其添加到<system.web>标记内的web.config文件中：

<httpRuntime requestValidationMode="2.0" />

在.NET 2.0中，请求验证仅适用于aspx请求。在.NET 4.0中，它被扩展为包括所有请求。通过指定以下内容，可以恢复为仅在处理.aspx时执行XSS验证：

requestValidationMode="2.0"

您可以通过指定以下内容完全禁用请求验证：

validateRequest="false"