请记住，某些.NET控件将自动对输出进行HTML编码。例如，在TextBox控件上设置.Text属性将自动对其进行编码。这特别意味着将<转换为&lt；，>进入&gt；和&进入&amp；。所以要小心这样做。。。

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

然而，HyperLink、Literal和Label的.Text属性不会对内容进行HTML编码，因此包装Server.HtmlEncode（）；如果要防止<script>window.location=“http://www.google.com“；</script>被输出到页面并随后执行。

做一点实验，看看哪些被编码，哪些没有编码。

对于那些不使用模型绑定、从Request.Form中提取每个参数、确信输入文本不会造成伤害的人，还有另一种方法。这不是一个很好的解决方案，但它可以解决问题。

从客户端，将其编码为uri，然后发送。例如：

encodeURIComponent($("#MsgBody").val());  

在服务器端，接受它并将其解码为uri。例如：

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Web.HttpUtility.UrlDecode(HttpContext.Current.Request.Form["MsgBody"]) : 
null;  

or

string temp = !string.IsNullOrEmpty(HttpContext.Current.Request.Form["MsgBody"]) ?
System.Uri.UnescapeDataString(HttpContext.Current.Request.Form["MsgBody"]) : 
null; 

请查找UrlDecode和UnescapeDataString之间的差异

如何在ASP.NET 4.6.2中修复AjaxExtControls的此问题：

我们在AjaxExtControls富文本编辑器中遇到了同样的问题。此问题在从.NET 2.0升级到.NET 4.5后立即开始。我查看了SOF的所有答案，但没有找到一个不损害.NET4.5提供的安全性的解决方案。

修复1（不推荐，因为它会降低应用程序的安全性）：我在requestValidationMode=“2.0，它起了作用，但我担心安全特性。因此，这是一个修复，就像降低了整个应用程序的安全性。

修复2（推荐）：由于这个问题只发生在AjaxExtControl中的一个，我最终能够使用下面的简单代码解决这个问题：

editorID.value = editorID.value.replace(/>/g, ">");
editorID.value = editorID.value.replace(/</g, "&lt;");

在向服务器发送请求之前，在客户端（javascript）上执行此代码。注意，editorID不是我们在html.aspx页面上的ID，而是AjaxExtControl内部使用的富文本编辑器的ID。

在ASP.NET MVC（从版本3开始）中，可以将AllowHtml属性添加到模型的属性中。

它通过跳过属性的请求验证，允许请求在模型绑定期间包含HTML标记。

[AllowHtml]
public string Description { get; set; }

在我的例子中，使用asp:Textbox控件（asp.net4.5），而不是设置validateRequest=“false”的所有页面我用过

<asp:TextBox runat="server" ID="mainTextBox"
            ValidateRequestMode="Disabled"
 ></asp:TextBox>

在导致异常的文本框上。

您可以对文本框内容进行HTML编码，但不幸的是，这并不能阻止异常的发生。根据我的经验，没有办法，您必须禁用页面验证。你这样做是在说：“我会小心的，我保证。”