asp.net 1.1 et ValidateRequest

Le
fabrice
Bonjour à tous,

Je suis toujours dans le cadre d'un site basé sur un framework 1.1
Dans les différentes pages de recheche, j'essaye au maximum de lutter contre
l'injection sql par des contrôles de validation et des html.encode. A chaque
erreur de saisie l'utilisateur à une information, et n'a pas de pages
d'erreur générées par .net du type toute jaune et blanche et plein de
petites phrases :-)

Mais

La directive page validateRequest est par défaut à true, ce qui fait que
malgré mes contrôles si l'utilisateur saisi une chaine de type,

<SCRIPT>alert("hello from script")</SCRIPT>

.. il se retrouve avec une belle page d'erreur

Erreur du serveur dans l'application '/'.
Une valeur Request.Form potentiellement dangereuse a été détectée à partir
du client (txt003Number="<SCRIPT>alert("hello").



Existe t il un moyen de conserver la directive validateRequest = true (car
utile), tout en interceptant cette erreur et en remplaçant cette page
d'erreur par la sienne.


merci de votre aide
fabrice
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Patrice
Le #12182551
Je dirais trapper l'erreur dans global.asax via un gestionnaire global (qui
a mon avis devrait toujours être présent de toute façon). Le pb ici est que
l'erreur survient avant que le contrôle soit transféré à la page. Donc la
page n'a pas la main sur ce style d'erreur...

--
Patrice

"fabrice" e8%
Bonjour à tous,

Je suis toujours dans le cadre d'un site basé sur un framework 1.1
Dans les différentes pages de recheche, j'essaye au maximum de lutter
contre l'injection sql par des contrôles de validation et des html.encode.
A chaque erreur de saisie l'utilisateur à une information, et n'a pas de
pages d'erreur générées par .net du type toute jaune et blanche et plein
de petites phrases :-)

Mais...

La directive page validateRequest est par défaut à true, ce qui fait que
malgré mes contrôles si l'utilisateur saisi une chaine de type,

<SCRIPT>alert("hello from script")</SCRIPT>

.. il se retrouve avec une belle page d'erreur

Erreur du serveur dans l'application '/'.
Une valeur Request.Form potentiellement dangereuse a été détectée à partir
du client (txt003Number="<SCRIPT>alert("hello").
...


Existe t il un moyen de conserver la directive validateRequest = true (car
utile), tout en interceptant cette erreur et en remplaçant cette page
d'erreur par la sienne.


merci de votre aide
fabrice









fabrice
Le #12182471
J'espérais qu'il y ait une autre voie que le global.asax.
Je ferais avec lui.
Merci bcp de ta réponse.
bon week end.
fab
"Patrice"
Je dirais trapper l'erreur dans global.asax via un gestionnaire global
(qui a mon avis devrait toujours être présent de toute façon). Le pb ici
est que l'erreur survient avant que le contrôle soit transféré à la page.
Donc la page n'a pas la main sur ce style d'erreur...

--
Patrice

"fabrice" e8%
Bonjour à tous,

Je suis toujours dans le cadre d'un site basé sur un framework 1.1
Dans les différentes pages de recheche, j'essaye au maximum de lutter
contre l'injection sql par des contrôles de validation et des
html.encode. A chaque erreur de saisie l'utilisateur à une information,
et n'a pas de pages d'erreur générées par .net du type toute jaune et
blanche et plein de petites phrases :-)

Mais...

La directive page validateRequest est par défaut à true, ce qui fait que
malgré mes contrôles si l'utilisateur saisi une chaine de type,

<SCRIPT>alert("hello from script")</SCRIPT>

.. il se retrouve avec une belle page d'erreur

Erreur du serveur dans l'application '/'.
Une valeur Request.Form potentiellement dangereuse a été détectée à
partir du client (txt003Number="<SCRIPT>alert("hello").
...


Existe t il un moyen de conserver la directive validateRequest = true
(car utile), tout en interceptant cette erreur et en remplaçant cette
page d'erreur par la sienne.


merci de votre aide
fabrice













Patrice
Le #12182261
Ou modifier le web.config pour et diriger l'erreur vers une page.Quel est le
problème avec global.asax ?

"fabrice" OoR9u%
J'espérais qu'il y ait une autre voie que le global.asax.
Je ferais avec lui.
Merci bcp de ta réponse.
bon week end.
fab
"Patrice"
Je dirais trapper l'erreur dans global.asax via un gestionnaire global
(qui a mon avis devrait toujours être présent de toute façon). Le pb ici
est que l'erreur survient avant que le contrôle soit transféré à la page.
Donc la page n'a pas la main sur ce style d'erreur...

--
Patrice

"fabrice" e8%
Bonjour à tous,

Je suis toujours dans le cadre d'un site basé sur un framework 1.1
Dans les différentes pages de recheche, j'essaye au maximum de lutter
contre l'injection sql par des contrôles de validation et des
html.encode. A chaque erreur de saisie l'utilisateur à une information,
et n'a pas de pages d'erreur générées par .net du type toute jaune et
blanche et plein de petites phrases :-)

Mais...

La directive page validateRequest est par défaut à true, ce qui fait que
malgré mes contrôles si l'utilisateur saisi une chaine de type,

<SCRIPT>alert("hello from script")</SCRIPT>

.. il se retrouve avec une belle page d'erreur

Erreur du serveur dans l'application '/'.
Une valeur Request.Form potentiellement dangereuse a été détectée à
partir du client (txt003Number="<SCRIPT>alert("hello").
...


Existe t il un moyen de conserver la directive validateRequest = true
(car utile), tout en interceptant cette erreur et en remplaçant cette
page d'erreur par la sienne.


merci de votre aide
fabrice

















Publicité
Poster une réponse
Anonyme