Tutti i forum Ricerca FAQ
Fai una domanda
ffffgggg1977@libero.it
ffffgggg1977@libero.it non è online. Ultima attività: 29/09/2010 15.58.27ffffgggg1977@libero.it
il 21 luglio 2010 alle 11:32
5 messaggi dal 05 luglio 2010
Ciao a tutti Scusate se ho sbagliato il titolo ma mentre compilavo il post ho capito meglio la natura del mio problema.

Premessa: è molto più semplice rendersi conto del mio problema collegandosi all'indirizzo dove sto testando la mia applicazione:


http://www.camminandogustando.it/residenziale.aspx

Ho questo problema: il form nella pagina prevede una doppia validazione

1) ALCUNI CAMPI SONO OBBLIGATORI e se si prova ad inviare il form senza averli compilati/selezionati compare un message box riepilogativo.

2) ALCUNI CAMPI RICHIEDONO ESPRESSIONI REGOLARI: ad esempio il campo mail e il campo codice fiscale


mi sono accorto PERO'che digitando nei vari campi (sia quelli soggetti a validazione sia quelli non soggetti a validazione) espressioni del tipo
"<jyguyg>"
"<jyguyg"

se invio il form (ma anche quando utilizzo i menu a tendina che lanciano un Page PostBack) mi da il seguente errore:


Exception Details: System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client (ViaPiazzaCorsoImpianto="<jyguyg")..

Un aiutino ciao grazie
Modificato da ffffgggg1977@libero.it il 21 luglio 2010 10.32 -
Modificato da ffffgggg1977@libero.it il 21 luglio 2010 10.34 -
RispondiQuoting
zaffo
zaffo non è online. Ultima attività: 11/02/2012 9.16.31zaffo
il 21 luglio 2010 alle 15:22
128 messaggi dal 25 settembre 2001
é capitato anche a me, con i formattatori di testo
.Net ti avverte che è c'è del testo potenzialmente pericolo..

ho prima dell'insert o update ti controlli il testo inserito ...

o aggiungi nel <%@ Page il ValidateRequest="false"

Ciao
RispondiQuoting
m.casati
m.casati non è online. Ultima attività: 30/01/2012 22.26.14m.casatiTop Poster
il 21 luglio 2010 alle 15:35
3.056 messaggi dal 13 giugno 2001
Contributi
mcasati.com | Blog
Prima di disabilitare i controlli di sicurezza built-in di ASP.NET è necessario chiedersi (almeno 10 volte) se è proprio necessario farlo.
Ad esempio nel tuo caso ha senso accettare dell'HTML?
Guardando il tuo form direi proprio di no!
Tendenzialmente sono molto pochi gli scenari in cui è necessario ricevere dell'HTML (tipo nella creazione di un CMS o di un blog engine) e spesso è cmq preferibile evitarlo (se proprio desideriamo lasciare all'utente la possibilità di formattare il testo possiamo ricorrere ad altre soluzioni, come ad esempio il BBCODE, usato in questo forum).
Se vuoi evitare l'errore lato server pre-processa lato client i valori negli input (ad esempio con una regex che elimini o sostituisca i marcatori di tag)
Per quanto riguarda la sicurezza delle applicazioni web ti consiglio la lettura dello speciale che abbiamo dedicato all'argomento e, in particolare la parte relativa a XSS (Cross-Site Scripting) nell'articolo http://www.aspitalia.com/articoli/asp.net2/aspnet-security.aspx
HTH
Matteo Casati
GURU4.net
RispondiQuoting

Torna al forum | Feed RSS

ASPItalia.com non è responsabile per il contenuto dei messaggi presenti su questo servizio, non avendo nessun controllo sui messaggi postati nei propri forum, che rappresentano l'espressione del pensiero degli autori.
In primo piano

Speciale web mobile: costruire applicazioni con ASP.NET, jQuery Mobile e PhoneGap

Speciale Silverlight 5: tutte le novità

Rilasciato il bollettino MS11-100 per risolvere i problemi di attacchi DoS di ASP.NET

I più letti di oggi

Media
In evidenza
MISC