对于那些仍然停留在webforms上的人，我发现了以下解决方案，使您只能在一个字段上禁用验证！（我不想在整个页面上禁用它。）

VB.NET：

Public Class UnvalidatedTextBox
    Inherits TextBox
    Protected Overrides Function LoadPostData(postDataKey As String, postCollection As NameValueCollection) As Boolean
        Return MyBase.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form)
    End Function
End Class

C#:

public class UnvalidatedTextBox : TextBox
{
    protected override bool LoadPostData(string postDataKey, NameValueCollection postCollection)
    {
        return base.LoadPostData(postDataKey, System.Web.HttpContext.Current.Request.Unvalidated.Form);
    }
}

现在只需使用<prefix:UnvalidatedTextBox id=“test”runat=“server”/>而不是<asp:TextBox，它应该允许所有字符（这非常适合密码字段！）

如果您使用的是.NET 4.0，请确保将其添加到<system.web>标记内的web.config文件中：

<httpRuntime requestValidationMode="2.0" />

在.NET 2.0中，请求验证仅适用于aspx请求。在.NET 4.0中，它被扩展为包括所有请求。通过指定以下内容，可以恢复为仅在处理.aspx时执行XSS验证：

requestValidationMode="2.0"

您可以通过指定以下内容完全禁用请求验证：

validateRequest="false"

在我的例子中，使用asp:Textbox控件（asp.net4.5），而不是设置validateRequest=“false”的所有页面我用过

<asp:TextBox runat="server" ID="mainTextBox"
            ValidateRequestMode="Disabled"
 ></asp:TextBox>

在导致异常的文本框上。

您可以对文本框内容进行HTML编码，但不幸的是，这并不能阻止异常的发生。根据我的经验，没有办法，您必须禁用页面验证。你这样做是在说：“我会小心的，我保证。”

请记住，某些.NET控件将自动对输出进行HTML编码。例如，在TextBox控件上设置.Text属性将自动对其进行编码。这特别意味着将<转换为&lt；，>进入&gt；和&进入&amp；。所以要小心这样做。。。

myTextBox.Text = Server.HtmlEncode(myStringFromDatabase); // Pseudo code

然而，HyperLink、Literal和Label的.Text属性不会对内容进行HTML编码，因此包装Server.HtmlEncode（）；如果要防止<script>window.location=“http://www.google.com“；</script>被输出到页面并随后执行。

做一点实验，看看哪些被编码，哪些没有编码。

我也遇到了这个错误。

在我的案例中，用户在角色名称中输入了重音字符á（关于ASP.NET成员资格提供程序）。

我将角色名传递给一个方法，将用户授予该角色，而$.ajaxpost请求失败得很惨。。。

我这样做是为了解决问题：

而不是

data: { roleName: '@Model.RoleName', users: users }

这样做

data: { roleName: '@Html.Raw(@Model.RoleName)', users: users }

@Html.Raw成功了。

我得到的角色名称是HTML值roleName=“Cadastro b&#225；s”。此值与HTML实体&#225；被ASP.NET MVC阻止。现在我得到了roleName参数值，它应该是：roleName=“Cadastro Básico”，ASP.NET MVC引擎不会再阻止请求。