Code HTML dans les textbox [Résolu]

Signaler
Messages postés
127
Date d'inscription
vendredi 21 janvier 2005
Statut
Membre
Dernière intervention
29 mai 2014
-
Messages postés
586
Date d'inscription
lundi 7 janvier 2002
Statut
Membre
Dernière intervention
10 février 2010
-
Bonjours a tous.... Quand j'avais mon forum en ASP le monde pouvais mettre du code html dans les textbox mias en .NET ca marche pu..... que faire ??

Nicolas
A voir également:

8 réponses

Messages postés
6814
Date d'inscription
dimanche 15 décembre 2002
Statut
Modérateur
Dernière intervention
13 octobre 2010
27
Normal, la sécurité prime avant tout :)



pour autoriser les caractères html, il faut rajouter l'attribut

<%@ Page ValidateRequest="false" à la directive Page

<hr>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr
Messages postés
63
Date d'inscription
lundi 2 août 2004
Statut
Membre
Dernière intervention
25 mai 2005

Question bète : ça à quoi à voir avec la sécuritée ?
Messages postés
6814
Date d'inscription
dimanche 15 décembre 2002
Statut
Modérateur
Dernière intervention
13 octobre 2010
27
imagine une page tres compliqué :

un textbox, un bouton, un label ; au click sur le bouton, le contenu du textbox s'affiche à la place du Label : très compliqué



Dans ce textbox, je met un texte genre :



<script>alert("coucou !!!")</script> je clique sur mon
bouton, si je laisse l'attribut ValidateRequest a true, il va gueuler
(ouf) sinon, il va laisser faire, et dans le label j'aurais mon
texte (logique) et ce text est un script javascript, donc il va
s'executer chez le client.



Dans ce cas, ca n'a rien de grave, mais on peut aussi imaginer, une
fonction javascript qui s'amuse avec le dom et modifie toutes la page
!!! rien de très grave encore juste amousant ;) mais on peut aussi
mettre un script javascript qui recupere le coookies, qui l'envoie sur
une autre page, pour me l'amener directement sur ma boite mail
(interessant) ainsi le pirate recuperera le cookies du client qui
regarde la page, il peut donc "facilement" recuperer sa session s'il
est assez rapide etc...



voila ce que ca en rapport avec la securité



bien sur avant d'afficher du texte dont on est pas sur de la provenance, il faut TOUJOURS faire un server.htmlencode(text)


<hr>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr
Messages postés
586
Date d'inscription
lundi 7 janvier 2002
Statut
Membre
Dernière intervention
10 février 2010
1
Pire :-)

tu mets <script>window.close();</script>

et plus personne ne verra ton forum :-)

yopyop
Messages postés
127
Date d'inscription
vendredi 21 janvier 2005
Statut
Membre
Dernière intervention
29 mai 2014

Est ce que en ASP il y a une facon d'empecher le code HTML ??
Messages postés
586
Date d'inscription
lundi 7 janvier 2002
Statut
Membre
Dernière intervention
10 février 2010
1
En asp "standard", tu fais

Server.HTMLEncode("" & Request.Querystring("param"))
ou
Server.HTMLEncode("" & Request.Form("param"))

le "" & ... est ajouté car Server.HTMLEncode plante si la valeur est nulle.

yopyop
Messages postés
50
Date d'inscription
mardi 28 janvier 2003
Statut
Membre
Dernière intervention
23 août 2005

merci YopYop, je cherchai un moyen de contourner le pb du Server.HTMLEncode quand la valeu est null, ca marche nikel ;)



++
Messages postés
586
Date d'inscription
lundi 7 janvier 2002
Statut
Membre
Dernière intervention
10 février 2010
1
pas de quoi :)