对于ASP.NET 4.0，您可以将标记全部放在＜location＞元素中，从而允许标记作为特定页面的输入，而不是整个站点的输入。这将确保所有其他页面都是安全的。您不需要在.aspx页面中放入ValidateRequest=“false”。

<configuration>
...
  <location path="MyFolder/.aspx">
    <system.web>
      <pages validateRequest="false" />
      <httpRuntime requestValidationMode="2.0" />
    </system.web>
  </location>
...
</configuration>

在web.config中控制这一点更安全，因为您可以在站点级别看到哪些页面允许标记作为输入。

您仍然需要在禁用请求验证的页面上以编程方式验证输入。

前面的答案很好，但没有人说过如何排除一个字段进行HTML/JavaScript注入的验证。我不知道以前的版本，但在MVC3 Beta版中，您可以这样做：

[HttpPost, ValidateInput(true, Exclude = "YourFieldName")]
public virtual ActionResult Edit(int id, FormCollection collection)
{
    ...
}

这仍然会验证除排除的字段之外的所有字段。这一点的好处是，您的验证属性仍然验证字段，但您没有得到“潜在危险的请求。表单值已从客户端检测到”异常。

我已经用它验证了正则表达式。我制作了自己的ValidationAttribute，以查看正则表达式是否有效。由于正则表达式可以包含类似于脚本的内容，我应用了上面的代码-正则表达式仍然在检查是否有效，但不检查是否包含脚本或HTML。

原因

默认情况下，ASP.NET验证所有输入控件中可能导致跨站点脚本（XSS）和SQL注入的潜在不安全内容。因此，它通过抛出上述异常来禁止此类内容。默认情况下，建议允许在每次回发时进行此检查。

解决方案

在许多情况下，您需要通过富文本框或富文本编辑器将HTML内容提交到页面。在这种情况下，可以通过将@Page指令中的ValidateRequest标记设置为false来避免此异常。

<%@ Page Language="C#" AutoEventWireup="true" ValidateRequest = "false" %>

这将禁用已将ValidateRequest标志设置为false的页面的请求验证。如果要禁用此功能，请检查整个web应用程序；您需要在web.config<system.web>部分中将其设置为false

<pages validateRequest ="false" />

对于.NET 4.0或更高版本的框架，您还需要在<system.web>部分添加以下行以使上述工作正常。

<httpRuntime requestValidationMode = "2.0" />

就是这样。我希望这能帮助你解决上述问题。

引用者：ASP.Net错误：从客户端检测到潜在危险的Request.Form值

即使在将<httpRuntime requestValidationMode=“2.0”>添加到web.config之后，我仍然在使用WIF进行身份验证的应用程序中收到错误。为我解决的是在<system.web>元素中添加<sessionState mode=“InProc”cookieless=“UseUri”/>。

如果您确实需要特殊字符，如，>，<等，请禁用页面验证。然后确保在显示用户输入时，数据是HTML编码的。

页面验证存在安全漏洞，因此可以绕过它。此外，不应仅依赖页面验证。

参见：http://web.archive.org/web/20080913071637/http://www.procheckup.com:80/PDFs/bypassing-dot-NET-ValidateRequest.pdf

在.Net 4.0及更高版本（通常情况下）中，将以下设置放入system.web中

<system.web>
     <httpRuntime requestValidationMode="2.0" />