如果你只是想告诉你的用户不使用<和>，但是，你不希望在手写之前处理/返回整个表单（并丢失所有输入），你能简单地在字段周围放置一个验证器来筛选这些（以及其他潜在危险的）字符吗？

您可以对文本框内容进行HTML编码，但不幸的是，这并不能阻止异常的发生。根据我的经验，没有办法，您必须禁用页面验证。你这样做是在说：“我会小心的，我保证。”

我也遇到了这个错误。

在我的案例中，用户在角色名称中输入了重音字符á（关于ASP.NET成员资格提供程序）。

我将角色名传递给一个方法，将用户授予该角色，而$.ajaxpost请求失败得很惨。。。

我这样做是为了解决问题：

而不是

data: { roleName: '@Model.RoleName', users: users }

这样做

data: { roleName: '@Html.Raw(@Model.RoleName)', users: users }

@Html.Raw成功了。

我得到的角色名称是HTML值roleName=“Cadastro b&#225；s”。此值与HTML实体&#225；被ASP.NET MVC阻止。现在我得到了roleName参数值，它应该是：roleName=“Cadastro Básico”，ASP.NET MVC引擎不会再阻止请求。

对于那些仍然停留在webforms上的人，我发现了以下解决方案，使您只能在一个字段上禁用验证！（我不想在整个页面上禁用它。）

VB.NET：

Public Class UnvalidatedTextBox
    Inherits TextBox
    Protected Overrides Function LoadPostData(postDataKey As String, postCollection As NameValueCollection) As Boolean
        Return MyBase.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form)
    End Function
End Class

C#:

public class UnvalidatedTextBox : TextBox
{
    protected override bool LoadPostData(string postDataKey, NameValueCollection postCollection)
    {
        return base.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form);
    }
}

现在只需使用<prefix:UnvalidatedTextBox id=“test”runat=“server”/>而不是<asp:TextBox，它应该允许所有字符（这非常适合密码字段！）

您可以在Global.asax中捕捉到该错误。我仍然想验证，但显示了一条适当的消息。在下面列出的博客上，有一个这样的示例。

    void Application_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();

        if (ex is HttpRequestValidationException)
        {
            Response.Clear();
            Response.StatusCode = 200;
            Response.Write(@"[html]");
            Response.End();
        }
    }

重定向到另一个页面似乎也是对异常的合理响应。

http://www.romsteady.net/blog/2007/06/how-to-catch-httprequestvalidationexcep.html

在我的例子中，使用asp:Textbox控件（asp.net4.5），而不是设置validateRequest=“false”的所有页面我用过

<asp:TextBox runat="server" ID="mainTextBox"
            ValidateRequestMode="Disabled"
 ></asp:TextBox>

在导致异常的文本框上。