一、问题背景：　　

　　在组织部考核中，有一个发布任务业务，主要就是在页面编辑之后，存储到中，任务接收者登录系统的时候可以点击任务详情进行查看。其中编辑页面使用的freetextbox，但是当我从其他地方复制过来的内容保存时，总是保存失败——页面无任何反应。但是有时手动输入内容的时候不报错，对比一下内容，发现是因为粘贴了乱七八糟的符号报错！

二、问题描述：

　　从客户端中检测到有潜在危险的 request.form 值。
　　说明:请求验证过程检测到有潜在危险的客户端输入值，对请求的处理已经中止。该值可能指示存在危及应用程序安全的尝试，如跨站点脚本攻击。若要允许页面重写应用程序请求验证设置，请将 httpruntime 配置节中的 requestvalidationmode 特性设置为 requestvalidationmode="2.0"。示例: 。设置此值后，可通过在 page 指令或 配置节中设置 validaterequest="false" 禁用请求验证。但是，在这种情况下，强烈建议应用程序显式检查所有输入。有关更多信息，请参见 https://go.microsoft.com/fwlink/?linkid=153133。

三、解决思路

　　为什么？

　　asp.net 1.1后引入了对提交表单自动检查是否存在xss(跨站脚本攻击)的能力。当用户试图用之类的输入影响页面返回结果的时候，asp.net的引擎会引发一个httprequestvalidationexceptioin。也就是说，页面请求（request）时，含有html或javascript等字符串时。asp.net会认为是危险的值，就会抛出辞异常。当页面上使用了所见即所得编辑器（例如使用了fckeditor或freetextbox控件等）的时候会发生此异常。

　　怎么做？

　　其实在问题描述中已经给了相应的解决方案了：“httpruntime 配置节中的 requestvalidationmode 特性设置为 requestvalidationmode="2.0"。示例: 。设置此值后，可通过在 page 指令或 配置节中设置 validaterequest="false" 禁用请求验证。”

　　根据提示，首先在配置文件中修改验证模式为2.0

喎? f/ware/vc/"="" target="_blank" class="keylink">vcd4kpha+oaghocbktm6jrntayrntw7w9rnjlzvrlehrcb3i/2lz+tctss8pmo6y9qybqywdlina4we678ia8cgfnzxm+imxk1so92tbqyejwwyb2ywxpzgf0zvjlcxvlc3q9"false" 禁用请求验证。

四、小结

　　asp.net请求验证功能可以给我提供应用程序的安全保证，避免站点受到xss的攻击。但是在一些情况下，我们需要禁用这个功能，比如我们需要使用htmleditor来让用户输入一些html文本，这时候asp.net 2.0允许我们可以通过在web.config设置validaterequest="false"。在之前 的asp.net版本中，请求验证是默认启用的，但是它只对页面请求有效（请求.x页面），并且也只是在页面被请求时验证。但是在asp.net 4.0中，请求验证功能被提前到ihttphandler.beginrequest这个方法被请求之前，这也就意味着所有进入asp.net请求通道的 所有的http请求都将会被进行请求内容合法性的验证，包括有的自定义httphandler，webservice请求，甚至于利用自定义http module进行自定义请求处理程序。请求验证处理被提前的后果就是导致我们在页面，或者controller中设置 validaterequest=false，将会失效，无法阻止程序不去验证请求的输入内容了。因为这样做后，验证器无法得到请求的页面是否禁用了验证 请求，因为还没有实例化httphandler。
　　在asp.net4.0中，并没有提供给我一个地方去禁用这个验证功能。但是出于兼容性的考虑，asp.net允许我们通过在web.config中配置使用asp.net 2.0的请求验证行为：。

五、参考资料：

https://www.asp.net/whitepapers/aspnet4/breaking-changes

https://www.cnblogs.com/juan/archive/2009/03/31/1426128.html

喎?>