Eccezione strana con datagrid

**DeBe99** · 27-01-2004, 16:42

Nella mia applicazione ho un datagrid con delle textbox che serve a modificare una colonna di una tabella. Funziona tutto, ma se per caso all'interno della stringa metto un "
" mi viene ritornata quest'eccezzione:

Valore potenzialmente pericoloso Request.Form rilevato dal client (DataGridStrings:_ctl14:txtLocalizedString="... *** site:
User Name:%USERN...").
Descrizione: La convalida delle richieste ha rilevato un valore di input client potenzialmente pericoloso. L'elaborazione della richiesta è stata interrotta. Questo valore può indicare un tentativo di compromettere la protezione dell'applicazione, ad esempio un attacco con script da altri siti. È possibile disattivare la convalida delle richieste impostando validateRequest=false nella direttiva Page o nella sezione di configurazione . In questo caso si raccomanda tuttavia di controllare in modo esplicito tutti gli input dall'applicazione.

Dettagli eccezione: System.Web.HttpRequestValidationException: Valore potenzialmente pericoloso Request.Form rilevato dal client (DataGridStrings:_ctl14:txtLocalizedString="... *** site:
User Name:%USERN...").

Che cosè? :master: Perchè viene fuori?

ma soprattutto come posso risolvere il problema?

**Legnetto** · 27-01-2004, 16:57

Metti questa simpatica cosina nella direttiva page del file.aspx:

validaterequest="false"

e vedrai che funziona.
Per eccesso di paranoia alla M han pensato che se metti dei tag in un textbox puoi insidiare una applicazione,penso che puoi risolvere anche con un doppio replace per < e > con i corrispettivi "<" e ">".
Ciao
Legnetto

**sms** · 27-01-2004, 16:59

<% page language="vb o cs" ValidateRequest="false" %>

mi sembra sia cosi

okkio ke con questo ti si tolgono tutti i controlli ..
x es. io ti inserisco 1 tag <script>alert('ciao')</script> e cosi ti incasino tutto

**sms** · 27-01-2004, 17:02

oh scusa legnetto .. mi hai anticipato

**DeBe99** · 27-01-2004, 17:08

L'idea di disattivare i controlli non mi alletta più di tanto. E possibile fare l'override del metodo in modo da fare una gestione personalizata? oppure modificare l'elenco dai tag considerati pericolosi?

**sms** · 27-01-2004, 17:27

penso che puoi risolvere anche con un doppio replace per < e > con i corrispettivi "<" e ">".

prova a fare come ha detto legnetto

**DeBe99** · 27-01-2004, 17:45

Già è dura far capire agli utenti di mettere un
per andare a capo, se gli faccio mettere <BR> non lo so mica cosa mi combinano

**sms** · 27-01-2004, 18:17

Originariamente inviato da DeBe99
Già è dura far capire agli utenti di mettere un
per andare a capo, se gli faccio mettere <BR> non lo so mica cosa mi combinano

nn hai capito ..
disabiliti il controllo .. poi quando inserisci il testo nel DB fai il replace ... gli utenti inserisco "
" ma tu nel tuo db avrai "<BR>"

Discussione: Eccezione strana con datagrid

Strumenti discussione

Ricerca discussione

Visualizza

Eccezione strana con datagrid

Permessi di invio