requestValidationMode 有两个bai值：
2.0 仅对网页启用请求验证。是启用还是du关闭取决于zhi validateRequest。
4.0 默认值。任何 HTTP 请求都会启用请求验证，dao也就是说不光是网页，还包括 Cookie 等。此时强制启用，不管 validateRequest 为何值。
由于 requestValidationMode="4.0" 是强制启用，所以我们会发现在 .NET Framework 4.0 中仅靠设置 validateRequest 是关闭不了请求验证的，还得将 requestValidationMode 设置为 2.0。
ASP.NET中的请求验证特性提供了某一等级的保护措施防止XSS攻击，之前版本的ASP.NET的请求验证是默认启动的,但是他仅仅应用于ASP.NET页面中(.aspx文件和.aspx.cs文件)。
而在ASP.NET4中，请求验证默认对所有类型的请求启动，因为它在BeginRequest被调用之前启动,结果就是对所有资源的请求都要经过请求验证，而不仅仅在.aspx文件和他们的类文件中,甚至包括web service和自定义的httphandler。同样，在自定义httpmodules读取http请求的时候，同样要经过请求验证。