Code HTML dans les textbox [Résolu]

hudon77 127 Messages postés vendredi 21 janvier 2005Date d'inscription 29 mai 2014 Dernière intervention - 17 mars 2005 à 05:52 - Dernière réponse : cs_Yopyop 586 Messages postés lundi 7 janvier 2002Date d'inscription 10 février 2010 Dernière intervention
- 28 juil. 2005 à 18:04
Bonjours a tous.... Quand j'avais mon forum en ASP le monde pouvais mettre du code html dans les textbox mias en .NET ca marche pu..... que faire ??

Nicolas
Afficher la suite 

Votre réponse

8 réponses

Meilleure réponse
jesusonline 6827 Messages postés dimanche 15 décembre 2002Date d'inscription 13 octobre 2010 Dernière intervention - 17 mars 2005 à 11:39
3
Merci
Normal, la sécurité prime avant tout :)



pour autoriser les caractères html, il faut rajouter l'attribut

<%@ Page ValidateRequest="false" à la directive Page

<hr>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr

Merci jesusonline 3

Avec quelques mots c'est encore mieux Ajouter un commentaire

Codes Sources a aidé 93 internautes ce mois-ci

Commenter la réponse de jesusonline
InnocentCriminal 63 Messages postés lundi 2 août 2004Date d'inscription 25 mai 2005 Dernière intervention - 17 mars 2005 à 17:03
0
Merci
Question bète : ça à quoi à voir avec la sécuritée ?
Commenter la réponse de InnocentCriminal
jesusonline 6827 Messages postés dimanche 15 décembre 2002Date d'inscription 13 octobre 2010 Dernière intervention - 17 mars 2005 à 18:34
0
Merci
imagine une page tres compliqué :

un textbox, un bouton, un label ; au click sur le bouton, le contenu du textbox s'affiche à la place du Label : très compliqué



Dans ce textbox, je met un texte genre :



<script>alert("coucou !!!")</script> je clique sur mon
bouton, si je laisse l'attribut ValidateRequest a true, il va gueuler
(ouf) sinon, il va laisser faire, et dans le label j'aurais mon
texte (logique) et ce text est un script javascript, donc il va
s'executer chez le client.



Dans ce cas, ca n'a rien de grave, mais on peut aussi imaginer, une
fonction javascript qui s'amuse avec le dom et modifie toutes la page
!!! rien de très grave encore juste amousant ;) mais on peut aussi
mettre un script javascript qui recupere le coookies, qui l'envoie sur
une autre page, pour me l'amener directement sur ma boite mail
(interessant) ainsi le pirate recuperera le cookies du client qui
regarde la page, il peut donc "facilement" recuperer sa session s'il
est assez rapide etc...



voila ce que ca en rapport avec la securité



bien sur avant d'afficher du texte dont on est pas sur de la provenance, il faut TOUJOURS faire un server.htmlencode(text)


<hr>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr
Commenter la réponse de jesusonline
cs_Yopyop 586 Messages postés lundi 7 janvier 2002Date d'inscription 10 février 2010 Dernière intervention - 17 mars 2005 à 22:40
0
Merci
Pire :-)

tu mets <script>window.close();</script>

et plus personne ne verra ton forum :-)

yopyop
Commenter la réponse de cs_Yopyop
hudon77 127 Messages postés vendredi 21 janvier 2005Date d'inscription 29 mai 2014 Dernière intervention - 18 mars 2005 à 01:46
0
Merci
Est ce que en ASP il y a une facon d'empecher le code HTML ??
Commenter la réponse de hudon77
cs_Yopyop 586 Messages postés lundi 7 janvier 2002Date d'inscription 10 février 2010 Dernière intervention - 18 mars 2005 à 19:54
0
Merci
En asp "standard", tu fais

Server.HTMLEncode("" & Request.Querystring("param"))
ou
Server.HTMLEncode("" & Request.Form("param"))

le "" & ... est ajouté car Server.HTMLEncode plante si la valeur est nulle.

yopyop
Commenter la réponse de cs_Yopyop
kalf2000 50 Messages postés mardi 28 janvier 2003Date d'inscription 23 août 2005 Dernière intervention - 28 juil. 2005 à 10:40
0
Merci
merci YopYop, je cherchai un moyen de contourner le pb du Server.HTMLEncode quand la valeu est null, ca marche nikel ;)



++
Commenter la réponse de kalf2000
cs_Yopyop 586 Messages postés lundi 7 janvier 2002Date d'inscription 10 février 2010 Dernière intervention - 28 juil. 2005 à 18:04
0
Merci
pas de quoi :)
Commenter la réponse de cs_Yopyop

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.