Bonjours a tous.... Quand j'avais mon forum en ASP le monde pouvais mettre du code html dans les textbox mias en .NET ca marche pu..... que faire ??


Nicolas

Question bète : ça à quoi à voir avec la sécuritée ?

imagine une page tres compliqué :
un textbox, un bouton, un label ; au click sur le bouton, le contenu du textbox s'affiche à la place du Label : très compliqué

Dans ce textbox, je met un texte genre :

<script>alert("coucou !!!")</script> je clique sur mon bouton, si je laisse l'attribut ValidateRequest a true, il va gueuler (ouf) sinon, il va laisser faire, et dans le label  j'aurais mon texte (logique) et ce text est un script javascript, donc il va s'executer chez le client.

Dans ce cas, ca n'a rien de grave, mais on peut aussi imaginer, une fonction javascript qui s'amuse avec le dom et modifie toutes la page !!! rien de très grave encore juste amousant ;) mais on peut aussi mettre un script javascript qui recupere le coookies, qui l'envoie sur une autre page, pour me l'amener directement sur ma boite mail (interessant) ainsi le pirate recuperera le cookies du client qui regarde la page, il peut donc "facilement" recuperer sa session s'il est assez rapide etc...

voila ce que ca en rapport avec la securité

bien sur avant d'afficher du texte dont on est pas sur de la provenance, il faut TOUJOURS faire un server.htmlencode(text)

---

Cyril - MCP ASP.net
Webmaster de : Hoshimi.CodeS-SourceS.fr

Pire :-)

tu mets <script>window.close();</script>
et plus personne ne verra ton forum :-)

yopyop

Est ce que en ASP il y a une facon d'empecher le code HTML ??

En asp "standard", tu fais

Server.HTMLEncode("" & Request.Querystring("param"))
ou
Server.HTMLEncode("" & Request.Form("param"))

le "" & ...  est ajouté car Server.HTMLEncode plante si la valeur est nulle.

yopyop

merci YopYop, je cherchai un moyen de contourner le pb du Server.HTMLEncode quand la valeu est null, ca marche nikel ;)

++

pas de quoi :)