Ho installato fckeditor per asp net e lo vorrei utilizzare per l'inserimento e l'aggiornamento di alcuni campi html, e fin qui tutto bene, cioè il tutto funzione in insert ed update dei campi solo se ValidateRequest="false" ma ciò comporta non pochi problemi di sicurezza ed anche di lavoro aggiuntivo in quanto poi bisogna spulciare le stringe che si inviano al db da capo a fondo mentre impostando true se ne occupa lui... il che non mi dispiace, io non faccio altro che intercettare l'errore di input nel caso qualcuno inserisca degli input incorretti e lo rinvio ad una pagina di spiegazione.
Giusto per essere breve io pensavo di creare una funzione javascript che al onclickclient faceva +- questo:
function prova()
{
var oEditor = FCKeditorAPI.GetInstance('FormView1_FCKeditorTesto');
var pippo=new String();
pippo=oEditor.EditorDocument.body.innerHTML;
pippo=escape(pippo);
//cancello il contenuto di fckeditor
oEditor.Commands.GetCommand( 'NewPage' ).Execute();
//imposto come value il testo di escape quindi valido per l'insert
document.all.form1.escapeTesto.value=pippo;
}

il tutto dovrebbe in linea di principio funzionare ma mi da errore di autorizzazione negata. Se qualcuno sa darmi un consiglio...
637 messaggi dal 12 agosto 2005
Il discorso ValidateRequest con FCKEditor o TinyMCE ha in effetti il rischio di esporre l'applicazione ad attacchi di tipo XSS. Esiste però una libreria allo scopo:

http://www.microsoft.com/downloads/details.aspx?familyid=9a2b9c92-7ad9-496c-9a89-af08de2e5982&displaylang=en

Non devi far altro che installare il package e referenziare la DLL nel progetto. A questo punto hai a disposizione Microsoft.Security.Application.AntiXss, con molti metodi sicuri per trattare l'input.

Hope this helps.
637 messaggi dal 12 agosto 2005
Una puntualizzazione: la libreria funziona server-side, per cui devi comunque impostare ValidateRequest="false".

La differenza consiste nel fatto che hai comunque a disposizione dei metodi validi per verificare l'input, anche devi farlo manualmente e non in automatico.
ciao e grazie della risposta adesso provo subito il tutto

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.