ASP.NET為了阻止跨站腳本攻擊所實現的防御措施，然而在我的情況下，我的確需要ASP.NET臨時關閉這個檢查機制，因為這個時候我需要保存原始的HTML文本。在網上搜了一下，發現很多人的解決方案有點粗暴，要么是直接將整個站點的HTML跨站攻擊檢測機制禁止掉：將web.config文件里，添加上。然后再 節設置validateRequest="false" 禁用請求驗證。

　　安全一點的，也是把整個頁面的檢測機制禁止掉—即通過在webform頁面的Page指令禁用請求驗證，或在MVC的Controller上加上[ValidateInput(false)]屬性。在MVC 3里，請求驗證以及集成到HttpModule這一層了，也就是說，即使你用上面那兩個方法，有可能還是禁用不了請求驗證。這是因為上面兩個方法是在處理Page的時候才有效，而HttpModule在Page接收到請求之前就已經執行請求驗證了。在MVC 3里，你可以告訴請求驗證程序對一個字段忽略請求驗證，但依然對其他字段執行請求驗證。

　　另外，請注意Unvalidated這個函數，你只有在安裝了WebMatrix Beta2以及ASP.NET MVC 3 RC后才有。裝好WebMatrix Beta 2，再次訪問網頁，你就可以看到在test文本框里輸入的html字符串可以正常通過驗證，但是在其他文本框輸入的html字符串則不能通過驗證。但是，接下來又有另外一個問題，當你回顯HTML字符串的時候，它并沒有跟你想象的那樣作為HTML代碼插入，而被當作了普通文本輸出，這是因為，在MVC 3的Razor引擎里，默認情況下，所有的字符串都會先被轉義以后才能輸出。

　　如果你需要修改這個行為，應該將代碼改成下面這樣：

　　var wrapper = new HtmlString(text);

　　<div>@wrapper</div>