从客户端中检测到有潜在危险的 Request.Form 值

在页面中我添加一个dropdownlist，里面添加的数据总会报错：从客户端中检测到有潜在危险的 Request.Form 值。

这是为什么呢？

其实我已经说的很明白了，是我dropdownlist里面的值有问题，asp.net 中的请求验证特性提供了一种保护措置用来防止xss攻击，并且在asp.net中，这种请求验证是默认启动的。

科普一下，根据百度百科介绍：XSS是一种经常出现在web应用中的计算机安全漏洞，它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same
origin policy)。这种类型的漏洞由于被黑客用来编写危害性更大的网络钓鱼(Phishing)攻击而变得广为人知。对于跨站脚本攻击，黑客界共识是：跨站脚本攻击是新型的“缓冲区溢出攻击“，而JavaScript是新型的“ShellCode”。

那么，该怎么解决这个问题呢：
在.net2.0的情况下：
如果只是一个页面有这个问题，我们可以在页面中加入：ValidateRequest="false"，ValidateRequest为false，是指在页面提交时验证关闭，代码如下：

<%@ Page ValidateRequest="false"  Language="C#" AutoEventWireup="true" CodeFile="htl.aspx.cs" Inherits="htl" %>

如果是很多页面的话，就可以在web.config中修改：

<system.web>
　　<pages validateRequest="false" >
　　</pages>
　　</system.web>

在.net4.0情况下：

4.0模式默认情况下，任何
HTTP 请求都会启用请求验证，也就是说不光是网页，还包括Session、 Cookie 等。强制启用，不管 validateRequest 为何值，所以只是单纯的修改validateRequest 并没有什么作用，我们就需要设置还原2.0仅对网页启用请求验证

然后以2.0的修改方法进行修改，代码如下：

　<system.web>
　　<httpRuntime requestValidationMode="2.0" />
　　<pages validateRequest="false"></pages>
　　</system.web>

但是，这些方法只是关闭了对XSS防御，真正的前端开发需要另外编写程序进行XSS防御。