.NET Framework 4.0解决System.Web.HttpRequestValidationException

今天，大家普遍反映网站老出错误，发布文章时抛出：System.Web.HttpRequestValidationException？

从客户端(TextBox1="")中检测到有潜在危险的 Request.Form 值。
以前一直好好的，怎么会出现这个问题呢？看到网上大家的解决方案，我也开始回想近期在网站上做了哪些改动。原来，由于近期网站安全问题，把网站.net 版本从2.0调到4.0，才出现的这一系列问题。

一、把.net 版本从4.0调到2.0。

回想清楚，那么把.net 版本从4.0调到2.0肯定能解决这个问题。于是果断调回2.0，运行网站，OK，一切正常。
但既然从2.0调到4.0，现在再调回去，心里总是……
有没有其他方法呢？
后来看到一篇文章，《.NET Framework 4.0－RequestValidationMode》（https://www.cnblogs.com/losesea/archive/2012/05/20/2509359.html）这篇文章介绍了RequestValidationMode，于是有了第二种方法。

二、在web.config 中添加“<httpRuntime requestValidationMode="2.0" />”

requestValidationMode 有两个值：

• 2.0仅对网页启用请求验证。是启用还是关闭取决于 validateRequest。
• 4.0 默认值。任何 HTTP 请求都会启用请求验证，也就是说不光是网页，还包括 Cookie 等。此时强制启用，不管 validateRequest 为何值。

由于 requestValidationMode=“4.0” 是强制启用，所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的，还得将 requestValidationMode 设置为 2.0。
ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击，之前版本的ASP.NET的请求验证是默认启动的,但是他紧紧应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。

而在ASP.NET4中，请求验证默认对所有类型的请求启动，因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证，而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样，在自定义httpmodules读取http请求的时候，同样要经过请求验证。

上述原因引发的最终结果就是在ASP.NET4中会引发请求错误，例如检测到有潜在危险的Request.Form值等等，为了解决这个问题，可以通过将验证模式设置为ASP.NET之前的版本。具体步骤是在web.config中加入以下配置：

<httpRuntime requestValidationMode=”2.0″ />

设置了请求模式后，再设置

<system.web>
<pages validaterequest=”false”/>
</system.web>