没有一个答案对我有效。然后我发现，如果我删除了以下代码，我可以让它发挥作用：

//Register action filter via Autofac rather than GlobalFilters to allow dependency injection
builder.RegisterFilterProvider();
builder.RegisterType<OfflineActionFilter>()
    .AsActionFilterFor<Controller>()
    .InstancePerLifetimeScope();

我只能得出结论，Autofac的RegisterFilterProvider中的某些内容破坏或覆盖validateRequest属性

对于那些不使用模型绑定、从Request.Form中提取每个参数、确信输入文本不会造成伤害的人，还有另一种方法。这不是一个很好的解决方案，但它可以解决问题。

从客户端，将其编码为uri，然后发送。例如：

encodeURIComponent($("#MsgBody").val());  

在服务器端，接受它并将其解码为uri。例如：

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Web.HttpUtility.UrlDecode(HttpContext.Current.Request.Form["MsgBody"]) : 
null;  

or

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Uri.UnescapeDataString(HttpContext.Current.Request.Form["MsgBody"]) : 
null; 

请查找UrlDecode和UnescapeDataString之间的差异

如果您使用的是.NET 4.0，请确保将其添加到<system.web>标记内的web.config文件中：

<httpRuntime requestValidationMode="2.0" />

在.NET 2.0中，请求验证仅适用于aspx请求。在.NET 4.0中，它被扩展为包括所有请求。通过指定以下内容，可以恢复为仅在处理.aspx时执行XSS验证：

requestValidationMode="2.0"

您可以通过指定以下内容完全禁用请求验证：

validateRequest="false"

我看到有很多关于这个的文章。。。我没有看到这一点。自.NET Framework 4.5以来，此功能一直可用

控件的ValidateRequestMode设置是一个很好的选项。这样，页面上的其他控件仍受保护。不需要更改web.config。

 protected void Page_Load(object sender, EventArgs e)
 {
     txtMachKey.ValidateRequestMode = ValidateRequestMode.Disabled;
 }

尝试使用

服务器编码

and

Server.Html解码同时发送和接收。

您可以在Global.asax中捕捉到该错误。我仍然想验证，但显示了一条适当的消息。在下面列出的博客上，有一个这样的示例。

    void Application_Error(object sender, EventArgs e)
    {
        Exception ex = Server.GetLastError();

        if (ex is HttpRequestValidationException)
        {
            Response.Clear();
            Response.StatusCode = 200;
            Response.Write(@"[html]");
            Response.End();
        }
    }

重定向到另一个页面似乎也是对异常的合理响应。

http://www.romsteady.net/blog/2007/06/how-to-catch-httprequestvalidationexcep.html