none
.Net 4.0 input encoding sorunu RRS feed

  • Soru

  • Merhaba 

        protected void btnEkle_Click(object sender, EventArgs e)

    {

          string  encoding = HttpUtility.HtmlEncode(txtBox2.Text);

    }

    Editörden gelen metni encode işlemi yapamadan validation işlemi devreye girip ValidationExeption oluşuyor. Validation olayından önce nasıl encode işlemi yapılabilir? 

    Aşağıdaki şekilde çözmek kötü amaçlı kişilerin XSS saldırılarına büyük yardım sağlıyor. Tüm siteyi kontrol etmek de çok zaman kaybı.

    Sadece 1 sayfada Validation işlemini nasıl göz ardı ettirebiliriz yada validation işleminden önce encode yaptırılabiliriz?

    <pages validateRequest="false"></pages  
       
    <httpRuntime requestValidationMode="2.0"/> 

    24 Ekim 2014 Cuma 22:27

Yanıtlar

  • Merhaba 

    validateRequest=false  yapmayınız zira bu işlem server side kod çalışmasına neden olabilir. İşi bilen insanlar bunu fark ederlerse sistemi perişan edebilirler.

    Bunun yerine form post edilmeden hemen öncesinden html olan içeriği htmlEntity dediğimiz string formatına çevirin.

    Burada nasıl yapacağınız yer almaktadır.

    • Yanıt Olarak İşaretleyen Mustafa_D 25 Ekim 2014 Cumartesi 15:34
    25 Ekim 2014 Cumartesi 13:43

Tüm Yanıtlar

  • validateRequest="false" yi sadece o aspx sayfasının başında yazarsanız istediğiniz olur.

    www.mvcblog.org
    e-mail: onay[nokta]yalciner[at]hotmail[nokta]com

    • Yanıt Olarak Öneren pancarahmet 25 Ekim 2014 Cumartesi 06:56
    • Yanıt Önerisini Geri Alan Mustafa_D 25 Ekim 2014 Cumartesi 11:39
    24 Ekim 2014 Cuma 23:36
    Moderatör
  • <%@ Page Title="" Language="C#" AutoEventWireup="true" ValidateRequest="false" CodeFile="BlogEkle.aspx.cs" Inherits="BlogEkle" %>

    Burada yanlış olan ne yapıyorum acaba, hala aynı.



    • Düzenleyen Mustafa_D 25 Ekim 2014 Cumartesi 11:38 yazım yanlışı
    25 Ekim 2014 Cumartesi 11:38
  • Merhaba 

    validateRequest=false  yapmayınız zira bu işlem server side kod çalışmasına neden olabilir. İşi bilen insanlar bunu fark ederlerse sistemi perişan edebilirler.

    Bunun yerine form post edilmeden hemen öncesinden html olan içeriği htmlEntity dediğimiz string formatına çevirin.

    Burada nasıl yapacağınız yer almaktadır.

    • Yanıt Olarak İşaretleyen Mustafa_D 25 Ekim 2014 Cumartesi 15:34
    25 Ekim 2014 Cumartesi 13:43