如果你只是想告诉你的用户不使用<和>，但是，你不希望在手写之前处理/返回整个表单（并丢失所有输入），你能简单地在字段周围放置一个验证器来筛选这些（以及其他潜在危险的）字符吗？

正如我对Sel回答的评论所指出的，这是我们对自定义请求验证器的扩展。

public class SkippableRequestValidator : RequestValidator
{
    protected override bool IsValidRequestString(HttpContext context, string value, RequestValidationSource requestValidationSource, string collectionKey, out int validationFailureIndex)
    {
        if (collectionKey != null && collectionKey.EndsWith("_NoValidation"))
        {
            validationFailureIndex = 0;
            return true;
        }

        return base.IsValidRequestString(context, value, requestValidationSource, collectionKey, out validationFailureIndex);
    }
}

原因

默认情况下，ASP.NET验证所有输入控件中可能导致跨站点脚本（XSS）和SQL注入的潜在不安全内容。因此，它通过抛出上述异常来禁止此类内容。默认情况下，建议允许在每次回发时进行此检查。

解决方案

在许多情况下，您需要通过富文本框或富文本编辑器将HTML内容提交到页面。在这种情况下，可以通过将@Page指令中的ValidateRequest标记设置为false来避免此异常。

<%@ Page Language="C#" AutoEventWireup="true" ValidateRequest = "false" %>

这将禁用已将ValidateRequest标志设置为false的页面的请求验证。如果要禁用此功能，请检查整个web应用程序；您需要在web.config<system.web>部分中将其设置为false

<pages validateRequest ="false" />

对于.NET 4.0或更高版本的框架，您还需要在<system.web>部分添加以下行以使上述工作正常。

<httpRuntime requestValidationMode = "2.0" />

就是这样。我希望这能帮助你解决上述问题。

引用者：ASP.Net错误：从客户端检测到潜在危险的Request.Form值

我认为你试图对所有发布的数据进行编码，这是从错误的角度来攻击它。

注意，“<”也可以来自其他外部源，如数据库字段、配置、文件、提要等。

此外，“<”本身并不危险。这只在特定的上下文中是危险的：当编写尚未编码为HTML输出的字符串时（因为XSS）。

在其他上下文中，不同的子字符串是危险的，例如，如果将用户提供的URL写入链接，则子字符串“javascript:”可能是危险的。另一方面，在SQL查询中插入字符串时，单引号字符是危险的，但如果它是从表单提交的名称的一部分或从数据库字段读取的名称，则完全安全。

底线是：你不能过滤危险字符的随机输入，因为任何字符在正确的情况下都可能是危险的。您应该在某些特定字符可能会变得危险的地方进行编码，因为它们交叉到具有特殊含义的不同子语言中。将字符串写入HTML时，应使用Server.HtmlEncode对HTML中具有特殊含义的字符进行编码。如果将字符串传递给动态SQL语句，则应编码不同的字符（或者更好，让框架使用准备好的语句等为您进行编码）。。

当您确定在传递字符串到HTML的任何地方都进行HTML编码时，请在<%@Page…%>中设置ValidateRequest=“false”.aspx文件中的指令。

在.NET4中，您可能需要做更多的工作。有时还需要将<httpRuntime requestValidationMode=“2.0”/>添加到web.config（参考）。

我想你可以在一个模块中完成；但这留下了一些问题；如果您想将输入保存到数据库中怎么办？突然间，由于您正在将编码数据保存到数据库中，您最终会信任来自数据库的输入，这可能是一个坏主意。理想情况下，您将原始未编码数据存储在数据库中，并每次进行编码。

在每页级别禁用保护，然后每次编码是更好的选择。

与其使用Server.HtmlEncode，不如看看Microsoft ACE团队提供的更新、更完整的反XSS库。

我找到了一个使用JavaScript编码数据的解决方案，数据在.NET中解码（不需要jQuery）。

使文本框成为HTML元素（如文本区域）而不是ASP元素。添加隐藏字段。将以下JavaScript函数添加到标头中。函数boo（）{targetText=document.getElementById（“HiddenField1”）；sourceText=document.getElementById（“userbox”）；targetText.value=转义（sourceText.innerText）；}

在文本区域中，包含一个调用boo（）的onchange：

<textarea id="userbox"  onchange="boo();"></textarea>

最后，在.NET中，使用

string val = Server.UrlDecode(HiddenField1.Value);

我知道这是单向的-如果你需要双向的，你必须要有创造性，但如果你不能编辑web.config，这就提供了一个解决方案

下面是我（MC9000）通过jQuery创建并使用的示例：

$(document).ready(function () {

    $("#txtHTML").change(function () {
        var currentText = $("#txtHTML").text();
        currentText = escape(currentText); // Escapes the HTML including quotations, etc
        $("#hidHTML").val(currentText); // Set the hidden field
    });

    // Intercept the postback
    $("#btnMyPostbackButton").click(function () {
        $("#txtHTML").val(""); // Clear the textarea before POSTing
                               // If you don't clear it, it will give you
                               // the error due to the HTML in the textarea.
        return true; // Post back
    });


});

以及标记：

<asp:HiddenField ID="hidHTML" runat="server" />
<textarea id="txtHTML"></textarea>
<asp:Button ID="btnMyPostbackButton" runat="server" Text="Post Form" />

这很有效。如果黑客试图绕过JavaScript发帖，他们只会看到错误。您还可以将所有这些编码的数据保存在数据库中，然后（在服务器端）对其进行解析，并在其他地方显示之前分析和检查攻击。