引起原因：
这个也有时被人们称作HTML注入，和sql注入原理相似，也是没有特殊字符进行处理。是用户可以提交HTML标签对网站进行重新的构造。其实在默认的情况下在asp.net网页中是开启validateRequest属性的，所有HTML标签后会.NET都会验证：

但这样直接把异常抛给用户，多少用户体验就不好。
解决方法：
（１）：通过在 Page 指令或 配置节中设置 validateRequest=false 禁用请求验证，然后我们对用户提交的数据进行HtmlEncode,编码后的就不会出现这种问题了（ASP.NET 中编码方法：Server.HtmlEncode(string)）。
（２）：第二种是过滤特殊字符，这种方法就不太提倡了，如果用户想输入小于号（<）也会被过滤掉.