Code HTML dans les textbox [Résolu]

Messages postés
127
Date d'inscription
vendredi 21 janvier 2005
Dernière intervention
29 mai 2014
- 17 mars 2005 à 05:52 - Dernière réponse :
Messages postés
586
Date d'inscription
lundi 7 janvier 2002
Dernière intervention
10 février 2010
- 28 juil. 2005 à 18:04
Bonjours a tous.... Quand j'avais mon forum en ASP le monde pouvais mettre du code html dans les textbox mias en .NET ca marche pu..... que faire ??

Nicolas
Afficher la suite 

Votre réponse

8 réponses

Meilleure réponse
Messages postés
6827
Date d'inscription
dimanche 15 décembre 2002
Dernière intervention
13 octobre 2010
- 17 mars 2005 à 11:39
3
Merci
Normal, la sécurité prime avant tout :)



pour autoriser les caractères html, il faut rajouter l'attribut

<%@ Page ValidateRequest="false" à la directive Page

<hr>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr

Merci jesusonline 3

Avec quelques mots c'est encore mieux Ajouter un commentaire

Codes Sources a aidé 88 internautes ce mois-ci

Commenter la réponse de jesusonline
Messages postés
63
Date d'inscription
lundi 2 août 2004
Dernière intervention
25 mai 2005
- 17 mars 2005 à 17:03
0
Merci
Question bète : ça à quoi à voir avec la sécuritée ?
Commenter la réponse de InnocentCriminal
Messages postés
6827
Date d'inscription
dimanche 15 décembre 2002
Dernière intervention
13 octobre 2010
- 17 mars 2005 à 18:34
0
Merci
imagine une page tres compliqué :

un textbox, un bouton, un label ; au click sur le bouton, le contenu du textbox s'affiche à la place du Label : très compliqué



Dans ce textbox, je met un texte genre :



<script>alert("coucou !!!")</script> je clique sur mon
bouton, si je laisse l'attribut ValidateRequest a true, il va gueuler
(ouf) sinon, il va laisser faire, et dans le label j'aurais mon
texte (logique) et ce text est un script javascript, donc il va
s'executer chez le client.



Dans ce cas, ca n'a rien de grave, mais on peut aussi imaginer, une
fonction javascript qui s'amuse avec le dom et modifie toutes la page
!!! rien de très grave encore juste amousant ;) mais on peut aussi
mettre un script javascript qui recupere le coookies, qui l'envoie sur
une autre page, pour me l'amener directement sur ma boite mail
(interessant) ainsi le pirate recuperera le cookies du client qui
regarde la page, il peut donc "facilement" recuperer sa session s'il
est assez rapide etc...



voila ce que ca en rapport avec la securité



bien sur avant d'afficher du texte dont on est pas sur de la provenance, il faut TOUJOURS faire un server.htmlencode(text)


<hr>
Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr
Commenter la réponse de jesusonline
Messages postés
586
Date d'inscription
lundi 7 janvier 2002
Dernière intervention
10 février 2010
- 17 mars 2005 à 22:40
0
Merci
Pire :-)

tu mets <script>window.close();</script>

et plus personne ne verra ton forum :-)

yopyop
Commenter la réponse de cs_Yopyop
Messages postés
127
Date d'inscription
vendredi 21 janvier 2005
Dernière intervention
29 mai 2014
- 18 mars 2005 à 01:46
0
Merci
Est ce que en ASP il y a une facon d'empecher le code HTML ??
Commenter la réponse de hudon77
Messages postés
586
Date d'inscription
lundi 7 janvier 2002
Dernière intervention
10 février 2010
- 18 mars 2005 à 19:54
0
Merci
En asp "standard", tu fais

Server.HTMLEncode("" & Request.Querystring("param"))
ou
Server.HTMLEncode("" & Request.Form("param"))

le "" & ... est ajouté car Server.HTMLEncode plante si la valeur est nulle.

yopyop
Commenter la réponse de cs_Yopyop
Messages postés
50
Date d'inscription
mardi 28 janvier 2003
Dernière intervention
23 août 2005
- 28 juil. 2005 à 10:40
0
Merci
merci YopYop, je cherchai un moyen de contourner le pb du Server.HTMLEncode quand la valeu est null, ca marche nikel ;)



++
Commenter la réponse de kalf2000
Messages postés
586
Date d'inscription
lundi 7 janvier 2002
Dernière intervention
10 février 2010
- 28 juil. 2005 à 18:04
0
Merci
pas de quoi :)
Commenter la réponse de cs_Yopyop

Vous n'êtes pas encore membre ?

inscrivez-vous, c'est gratuit et ça prend moins d'une minute !

Les membres obtiennent plus de réponses que les utilisateurs anonymes.

Le fait d'être membre vous permet d'avoir un suivi détaillé de vos demandes et codes sources.

Le fait d'être membre vous permet d'avoir des options supplémentaires.