转载：老问题再次发生 “从客户端(userName="<hr />")中检测到有潜在危险的 Request.Form 值” 解决方案...-优快云博客

本文介绍ASP.NET4.0中的请求验证机制，当客户端输入包含潜在危险字符时（如“<”、“>”），系统会触发安全警告。文章详细解释了如何通过配置Web.config文件来解决这一问题。

转载地址： http://www.cnblogs.com/caicainiao/archive/2010/1/14.html

ASP.NET 4.0验证请求 A potentially dangerous Request.Form value was detected from the client (ctl00$MainContent$txtCode="<cod

A potentially dangerous Request.Form value was detected from the client (ctl00$MainContent$txtCode="<code></code>").

Description: Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted. This value may indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. To allow pages to override application request validation settings, set requestValidationMode="2.0" in the configuration section. After setting this value, you can then disable request validation by setting validateRequest="false" in the Page directive or in the configuration section. However, it is strongly recommended that your application explicitly check all inputs in this case. For more information, see http://go.microsoft.com/fwlink/?LinkId=153133.

Exception Details: System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client (ctl00$MainContent$txtCode="<code></code>").

Version Information: Microsoft .NET Framework Version:4.0.21006; ASP.NET Version:4.0.21006.1

在安装了Visual Studio 2010 Beta2之后，当页面输入框默认情况下输入“<”或者“>”的时候。按照访问策略，这将导致一些安全问题，诸如：跨站脚本攻击（cross-site scripting attack）。而这个问题的更准确描述则是，当你在安装了.NET Framework 4.0以上版本后，当你的应用程序以.NET Framework 4.0为框架版本，你的任意服务器请求，都将被进行服务器请求验证（ValidationRequest），这不仅包括ASP.NET，同时也包括Web Services等各种HTTP请求，不仅仅针对aspx页面，也针对HTTP Handler，HTTP Module等，因为这个验证（Valify）的过程，将会发生在BeginRequest事件之前。

基于以上原理，在ASP.NET之前的版本中，请求验证也是默认开通的，但是发生在页面级（aspx）的，并且只在请求执行的时候生效，因此，在旧的版本中，我们只需要按以下方式配置即可：

在页面级别（aspx中）设置
ValidateRequest="false"
或者
在全局级别（Web.config中）设置
<configuration>
<system.web>
<pages validateRequest="false">