[asp.net] Inserire codice html in DB

**atm** · 30-10-2015, 09:59

Ciao ragazzi,

sto realizzando un'applicazione web dove ho una textbox per inserire codice html. Tale codice dovrà essere memorizzato sul DB in una tabella con la colonna dichiarata come text...

Il mio problema è che nel momento in cui premo il bottone all'interno della formview, al cui interno c'è anche la textbox citata sopra, mi va in eccezione il server per un possibile attacco. Documentandomi un po in giro ho visto che basta agire sul ValidationRequest della pagina e in un parametro nel web.config.. Ma anche questa soluzione non mi piace... Allora volevo sapere. C'è un modo "pulito" per fare questo?

A me l'unica soluzione che mi è venuta in mente è quella di creare una funzione javascript che fa replace(sarebbe meglio encode ma non so come fare) del testo della textbox e viene richiamata nell'onclientclick del bottone.

Ho provato ad utilizzare vari componenti HTML Editor pensando che loro facessero la conversione ma questo non accade...

Avete idee o soluzioni?

Come sempre grazie

**djciko** · 30-10-2015, 12:09

perche' il ValidationRequest non ti piace ? E' fatto apposta

**atm** · 30-10-2015, 14:56

Perchè vorrei evitare attacchi di script-injection... Se disabilitassi il ValidationRequest cosa potrei fare a livello di code-behind ?

Grazie

**Nazareno** · 30-10-2015, 15:56

Ciao,
io utilizzavo l'HTML Editor del Toolkit:

https://ajaxcontroltoolkit.codeplex....es/view/618129

http://ajaxcontroltoolkit.devexpress...rExtender.aspx

**atm** · 30-10-2015, 16:29

Grazie per la risposta. comunque ho provato sia questo che FreeTextBox:

http://www.freetextbox.com/

Ma entrambi devono avere disabilitato il parametro ValidationRequest...

A te funzionavano senza ValidationRequest = false?

Grazie

**Nazareno** · 30-10-2015, 16:57

Certo.
AjaxControlToolkit.HtmlEditor funziona senza dover metter ValidateRequest=False
Passa l'html con l'encoding corretto.
Se analizzi il POST con Chrome o con Firefox+Firebug, vedrai, per esempio:

<span style="font-weight: bold;">Hello</span><br />

**atm** · 30-10-2015, 18:24

Allora riprovo, magari nelle varie prove mi è sfuggito qualcosa... Ma hai utilizzato anche AjaxControlToolkit.HtmlEditor.Sanitizer?
Grazie

**supermac** · 30-10-2015, 18:40

ho lo stesso problema

ajax Control Toolkit, Html Editor Extender, AjaxControlToolkit.HtmlEditor.Sanitizer,
.... gli forzo anche l'HTMLEncode in fase di inserting e updating perchè quella chiavica di AjaxControlToolkit.HtmlEditor mi perde gli a capo (gli faccio fare un replace dei <br>), e ancora mi restituisce Valore potenzialmente pericoloso Request.Form rilevato dal client

**djciko** · 30-10-2015, 19:25

Originariamente inviata da atm

sarebbe meglio encode ma non so come fare

codice:

Server.HtmlEncode(tb.Text);

**supermac** · 30-10-2015, 19:27

io sono alla fantascienza
Con il sanitize disabilitato, in debug funziona (ma funzionava anche prima) e sul server di produzione no e manda quel messaggio

Discussione: [asp.net] Inserire codice html in DB

Strumenti discussione

Ricerca discussione

Visualizza

[asp.net] Inserire codice html in DB

Permessi di invio