对于那些仍然停留在webforms上的人，我发现了以下解决方案，使您只能在一个字段上禁用验证！（我不想在整个页面上禁用它。）

VB.NET：

Public Class UnvalidatedTextBox
    Inherits TextBox
    Protected Overrides Function LoadPostData(postDataKey As String, postCollection As NameValueCollection) As Boolean
        Return MyBase.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form)
    End Function
End Class

C#:

public class UnvalidatedTextBox : TextBox
{
    protected override bool LoadPostData(string postDataKey, NameValueCollection postCollection)
    {
        return base.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form);
    }
}

现在只需使用<prefix:UnvalidatedTextBox id=“test”runat=“server”/>而不是<asp:TextBox，它应该允许所有字符（这非常适合密码字段！）

您还可以使用JavaScript的转义（字符串）函数来替换特殊字符。然后服务器端使用server.URLDecode（字符串）将其切换回来。

这样，您就不必关闭输入验证，其他程序员将更清楚地知道字符串可能包含HTML内容。

请记住，某些.NET控件将自动对输出进行HTML编码。例如，在TextBox控件上设置.Text属性将自动对其进行编码。这特别意味着将<转换为&lt；，>进入&gt；和&进入&amp；。所以要小心这样做。。。

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

然而，HyperLink、Literal和Label的.Text属性不会对内容进行HTML编码，因此包装Server.HtmlEncode（）；如果要防止<script>window.location=“http://www.google.com“；</script>被输出到页面并随后执行。

做一点实验，看看哪些被编码，哪些没有编码。

这里的其他解决方案很好，但必须将[AllowHtml]应用于每个Model属性，特别是如果您在一个规模适中的网站上拥有超过100个模型，这有点麻烦。

如果像我一样，你想在整个站点范围内关闭这个（IMHO非常无意义）功能，你可以在基本控制器中重写Execute（）方法（如果你还没有基本控制器，我建议你做一个，它们对于应用公共功能非常有用）。

    protected override void Execute(RequestContext requestContext)
    {
        // Disable requestion validation (security) across the whole site
        ValidateRequest = false;
        base.Execute(requestContext);
    }

只需确保您对从用户输入输出到视图的所有内容进行了HTML编码（无论如何，这是ASP.NET MVC 3中使用Razor的默认行为，因此除非出于某种奇怪的原因，您使用HTML.Raw（），否则不应该需要此功能。

使用Server.HtmlEncode（“yourtext”）；

如果您使用的是.NET 4.0，请确保将其添加到<system.web>标记内的web.config文件中：

<httpRuntime requestValidationMode="2.0" />

在.NET 2.0中，请求验证仅适用于aspx请求。在.NET 4.0中，它被扩展为包括所有请求。通过指定以下内容，可以恢复为仅在处理.aspx时执行XSS验证：

requestValidationMode="2.0"

您可以通过指定以下内容完全禁用请求验证：

validateRequest="false"