Discussion :

[mpilard]

Bonjour,

Dans le cadre du développement d'une application web, j'ai besoin d'écrire du code html dans des fichiers txt. Jusque là, pas de soucis, je lis et écris dans le fichier, etc. (avec du texte brut)

Problème: dès que j'ajoute des balises html à mon texte, une erreur de sécurité m'est générée.

J'ai le code suivant:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
 
<%@ Page Title="Web Administrator" Language="C#" MasterPageFile="~/Site.master" AutoEventWireup="true"
    CodeBehind="Mail.aspx.cs" Inherits="Database_Web_Administrator.Mail" ValidateRequest="false" %>
 
[...]
 
<textarea id="file_content" name="file_content" rows="15" cols="85"
    runat="server" lang="fr-fr"></textarea>

couplé à:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
 
protected void update_file_content()
        {
            //Write over file
            #region
            try
            {
                string url = String.Concat("D:/space/", project, "/Template/Mail/", file, ".txt");
                StreamWriter writer = new StreamWriter(url);
                writer.Write(file_content.Value);
                writer.Close();
            }
            catch (Exception ex)
            {
                file_content.Value = ex.ToString();
            }
            #endregion
        }

J'ai essayé HtmlEncode/HtmlDecode mais sans succès.

Une idée? La solution?

Merci d'avance.
Max

[DotNetMatt]

Bonjour,

Il faut définir la propriété ValidateRequest à False au niveau de la page, comme ceci :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<%@ Page Language="C#" AutoEventWireup="true" CodeBehind="Default.aspx.cs" Inherits="WebApplication2._Default" ValidateRequest="false" %>

[tomlev]

Il faut définir la propriété ValidateRequest à False au niveau de la page, comme ceci

Par contre attention, dans ce cas il faut prendre toi-même des mesures pour t'assurer que seul du code "inoffensif" est posté... par exemple vérifier qu'il n'y a pas de balises <script>.

[DotNetMatt]

Par contre attention, dans ce cas il faut prendre toi-même des mesures pour t'assurer que seul du code "inoffensif" est posté... par exemple vérifier qu'il n'y a pas de balises <script>.

Effectivement, merci pour la précision Thomas

En relisant le premier post de ce thread, je me suis rendu compte que la balise ValidateRequest semble déjà être sur False... Le problème n'est peut-être donc pas à ce niveau.

[mpilard]

En effet, ValidateRequest est déjà renseigné à False.

Si ça peut aider, l'erreur qui m'est générée:

Server Error in '/' Application.
A potentially dangerous Request.Form value was detected from the client (ctl00$MainContent$file_content="...demande:
<ul>
<li><a href...").
Description: Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted. This value may indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. To allow pages to override application request validation settings, set the requestValidationMode attribute in the httpRuntime configuration section to requestValidationMode="2.0". Example: <httpRuntime requestValidationMode="2.0" />. After setting this value, you can then disable request validation by setting validateRequest="false" in the Page directive or in the <pages> configuration section. However, it is strongly recommended that your application explicitly check all inputs in this case. For more information, see http://go.microsoft.com/fwlink/?LinkId=153133.

Exception Details: System.Web.HttpRequestValidationException: A potentially dangerous Request.Form value was detected from the client (ctl00$MainContent$file_content="...demande:
<ul>
<li><a href...").

Source Error:

[No relevant source lines]


Source File: c:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files\root\66759691\a833601e\App_Web_mail.aspx.cdcab7d2.l4dwojza.0.cs Line: 0

Stack Trace:

[HttpRequestValidationException (0x80004005): A potentially dangerous Request.Form value was detected from the client (ctl00$MainContent$file_content="...demande:
<ul>
<li><a href...").]
System.Web.HttpRequest.ValidateString(String value, String collectionKey, RequestValidationSource requestCollection) +8734868
System.Web.HttpRequest.ValidateNameValueCollection(NameValueCollection nvc, RequestValidationSource requestCollection) +122
System.Web.HttpRequest.get_Form() +114
System.Web.HttpRequest.get_HasForm() +8900239
System.Web.UI.Page.GetCollectionBasedOnMethod(Boolean dontReturnNull) +97
System.Web.UI.Page.DeterminePostBackMode() +69
System.Web.UI.Page.ProcessRequestMain(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +8431
System.Web.UI.Page.ProcessRequest(Boolean includeStagesBeforeAsyncPoint, Boolean includeStagesAfterAsyncPoint) +253
System.Web.UI.Page.ProcessRequest() +78
System.Web.UI.Page.ProcessRequestWithNoAssert(HttpContext context) +21
System.Web.UI.Page.ProcessRequest(HttpContext context) +49
ASP.mail_aspx.ProcessRequest(HttpContext context) in c:\Windows\Microsoft.NET\Framework\v4.0.30319\Temporary ASP.NET Files\root\66759691\a833601e\App_Web_mail.aspx.cdcab7d2.l4dwojza.0.cs:0
System.Web.CallHandlerExecutionStep.System.Web.HttpApplication.IExecutionStep.Execute() +100
System.Web.HttpApplication.ExecuteStep(IExecutionStep step, Boolean& completedSynchronously) +75


Version Information: Microsoft .NET Framework Version:4.0.30319; ASP.NET Version:4.0.30319.1

[tomlev]

Bah la solution est dans le message d'erreur... comme bien souvent

To allow pages to override application request validation settings, set the requestValidationMode attribute in the httpRuntime configuration section to requestValidationMode="2.0". Example: <httpRuntime requestValidationMode="2.0" />. After setting this value, you can then disable request validation by setting validateRequest="false" in the Page directive or in the <pages> configuration section. However, it is strongly recommended that your application explicitly check all inputs in this case.