Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

asp.net 1.1 et ValidateRequest

3 réponses
Avatar
fabrice
Bonjour à tous,

Je suis toujours dans le cadre d'un site basé sur un framework 1.1
Dans les différentes pages de recheche, j'essaye au maximum de lutter contre
l'injection sql par des contrôles de validation et des html.encode. A chaque
erreur de saisie l'utilisateur à une information, et n'a pas de pages
d'erreur générées par .net du type toute jaune et blanche et plein de
petites phrases :-)

Mais...

La directive page validateRequest est par défaut à true, ce qui fait que
malgré mes contrôles si l'utilisateur saisi une chaine de type,

<SCRIPT>alert("hello from script")</SCRIPT>

.. il se retrouve avec une belle page d'erreur

Erreur du serveur dans l'application '/'.
Une valeur Request.Form potentiellement dangereuse a été détectée à partir
du client (txt003Number="<SCRIPT>alert("hello").
...


Existe t il un moyen de conserver la directive validateRequest = true (car
utile), tout en interceptant cette erreur et en remplaçant cette page
d'erreur par la sienne.


merci de votre aide
fabrice

3 réponses

Avatar
Patrice
Je dirais trapper l'erreur dans global.asax via un gestionnaire global (qui
a mon avis devrait toujours être présent de toute façon). Le pb ici est que
l'erreur survient avant que le contrôle soit transféré à la page. Donc la
page n'a pas la main sur ce style d'erreur...

--
Patrice

"fabrice" a écrit dans le message de news:
e8%
Bonjour à tous,

Je suis toujours dans le cadre d'un site basé sur un framework 1.1
Dans les différentes pages de recheche, j'essaye au maximum de lutter
contre l'injection sql par des contrôles de validation et des html.encode.
A chaque erreur de saisie l'utilisateur à une information, et n'a pas de
pages d'erreur générées par .net du type toute jaune et blanche et plein
de petites phrases :-)

Mais...

La directive page validateRequest est par défaut à true, ce qui fait que
malgré mes contrôles si l'utilisateur saisi une chaine de type,

<SCRIPT>alert("hello from script")</SCRIPT>

.. il se retrouve avec une belle page d'erreur

Erreur du serveur dans l'application '/'.
Une valeur Request.Form potentiellement dangereuse a été détectée à partir
du client (txt003Number="<SCRIPT>alert("hello").
...


Existe t il un moyen de conserver la directive validateRequest = true (car
utile), tout en interceptant cette erreur et en remplaçant cette page
d'erreur par la sienne.


merci de votre aide
fabrice









Avatar
fabrice
J'espérais qu'il y ait une autre voie que le global.asax.
Je ferais avec lui.
Merci bcp de ta réponse.
bon week end.
fab
"Patrice" <http://www.chez.com/scribe/&gt; a écrit dans le message de news:

Je dirais trapper l'erreur dans global.asax via un gestionnaire global
(qui a mon avis devrait toujours être présent de toute façon). Le pb ici
est que l'erreur survient avant que le contrôle soit transféré à la page.
Donc la page n'a pas la main sur ce style d'erreur...

--
Patrice

"fabrice" a écrit dans le message de news:
e8%
Bonjour à tous,

Je suis toujours dans le cadre d'un site basé sur un framework 1.1
Dans les différentes pages de recheche, j'essaye au maximum de lutter
contre l'injection sql par des contrôles de validation et des
html.encode. A chaque erreur de saisie l'utilisateur à une information,
et n'a pas de pages d'erreur générées par .net du type toute jaune et
blanche et plein de petites phrases :-)

Mais...

La directive page validateRequest est par défaut à true, ce qui fait que
malgré mes contrôles si l'utilisateur saisi une chaine de type,

<SCRIPT>alert("hello from script")</SCRIPT>

.. il se retrouve avec une belle page d'erreur

Erreur du serveur dans l'application '/'.
Une valeur Request.Form potentiellement dangereuse a été détectée à
partir du client (txt003Number="<SCRIPT>alert("hello").
...


Existe t il un moyen de conserver la directive validateRequest = true
(car utile), tout en interceptant cette erreur et en remplaçant cette
page d'erreur par la sienne.


merci de votre aide
fabrice













Avatar
Patrice
Ou modifier le web.config pour et diriger l'erreur vers une page.Quel est le
problème avec global.asax ?

"fabrice" a écrit dans le message de news:
OoR9u%
J'espérais qu'il y ait une autre voie que le global.asax.
Je ferais avec lui.
Merci bcp de ta réponse.
bon week end.
fab
"Patrice" <http://www.chez.com/scribe/&gt; a écrit dans le message de news:

Je dirais trapper l'erreur dans global.asax via un gestionnaire global
(qui a mon avis devrait toujours être présent de toute façon). Le pb ici
est que l'erreur survient avant que le contrôle soit transféré à la page.
Donc la page n'a pas la main sur ce style d'erreur...

--
Patrice

"fabrice" a écrit dans le message de news:
e8%
Bonjour à tous,

Je suis toujours dans le cadre d'un site basé sur un framework 1.1
Dans les différentes pages de recheche, j'essaye au maximum de lutter
contre l'injection sql par des contrôles de validation et des
html.encode. A chaque erreur de saisie l'utilisateur à une information,
et n'a pas de pages d'erreur générées par .net du type toute jaune et
blanche et plein de petites phrases :-)

Mais...

La directive page validateRequest est par défaut à true, ce qui fait que
malgré mes contrôles si l'utilisateur saisi une chaine de type,

<SCRIPT>alert("hello from script")</SCRIPT>

.. il se retrouve avec une belle page d'erreur

Erreur du serveur dans l'application '/'.
Une valeur Request.Form potentiellement dangereuse a été détectée à
partir du client (txt003Number="<SCRIPT>alert("hello").
...


Existe t il un moyen de conserver la directive validateRequest = true
(car utile), tout en interceptant cette erreur et en remplaçant cette
page d'erreur par la sienne.


merci de votre aide
fabrice