我有一个Web表单应用程序在文本框注释字段中遇到了这个问题，用户有时会在其中粘贴电子邮件文本，电子邮件标题信息中的“<”和“>”字符会在其中爬行并引发此异常。

我从另一个角度解决了这个问题。。。我已经在使用Ajax控件工具包，所以我能够使用FilteredTextBoxExtender来防止这两个字符进入文本框。用户复制粘贴文本将得到他们期望的结果，减去这些字符。

<asp:TextBox ID="CommentsTextBox" runat="server" TextMode="MultiLine"></asp:TextBox>
<ajaxToolkit:FilteredTextBoxExtender ID="ftbe" runat="server" TargetControlID="CommentsTextBox" filterMode="InvalidChars" InvalidChars="<>" />

我认为你试图对所有发布的数据进行编码，这是从错误的角度来攻击它。

注意，“<”也可以来自其他外部源，如数据库字段、配置、文件、提要等。

此外，“<”本身并不危险。这只在特定的上下文中是危险的：当编写尚未编码为HTML输出的字符串时（因为XSS）。

在其他上下文中，不同的子字符串是危险的，例如，如果将用户提供的URL写入链接，则子字符串“javascript:”可能是危险的。另一方面，在SQL查询中插入字符串时，单引号字符是危险的，但如果它是从表单提交的名称的一部分或从数据库字段读取的名称，则完全安全。

底线是：你不能过滤危险字符的随机输入，因为任何字符在正确的情况下都可能是危险的。您应该在某些特定字符可能会变得危险的地方进行编码，因为它们交叉到具有特殊含义的不同子语言中。将字符串写入HTML时，应使用Server.HtmlEncode对HTML中具有特殊含义的字符进行编码。如果将字符串传递给动态SQL语句，则应编码不同的字符（或者更好，让框架使用准备好的语句等为您进行编码）。。

当您确定在传递字符串到HTML的任何地方都进行HTML编码时，请在<%@Page…%>中设置ValidateRequest=“false”.aspx文件中的指令。

在.NET4中，您可能需要做更多的工作。有时还需要将<httpRuntime requestValidationMode=“2.0”/>添加到web.config（参考）。

使用Server.HtmlEncode（“yourtext”）；

这些建议对我都不起作用。无论如何，我不想关闭整个网站的这个功能，因为99%的时间我不希望我的用户在web表单上放置HTML。我刚刚创建了自己的变通方法，因为我是唯一一个使用这个特定应用程序的人。我在后面的代码中将输入转换为HTML并将其插入数据库。

如果您使用的是framework 4.0，则web.config中的条目（<pages validateRequest=“false”/>）

<configuration>
    <system.web>
        <pages validateRequest="false" />
    </system.web>
</configuration>

如果您使用的是框架4.5，则web.config中的条目（requestValidationMode=“2.0”）

<system.web>
    <compilation debug="true" targetFramework="4.5" />
    <httpRuntime targetFramework="4.5" requestValidationMode="2.0"/>
</system.web>

如果你只想要一个页面，那么在aspx文件中，你应该把第一行放在下面：

<%@ Page EnableEventValidation="false" %>

如果您已经有类似于＜%@页面的内容，那么只需添加rest＝＞EnableEventValidation＝“false”%>

我建议不要这样做。

这个问题的答案很简单：

var varname = Request.Unvalidated["parameter_name"];

这将禁用特定请求的验证。