Discussion :

[john85]

Bonjour,

Je suis sur une appli MVC3 et je souhaiterais récupérer un mail en gardant la mise en forme(surtout pour les tableaux, couleurs,etc). J'ai donc utilisé l'api de yahoo basée sur javascript:
http://developer.yahoo.com/yui/editor/.

Du coup je peux recuperer mon email sous forme HTML. Le probleme survient lors de l'insertion en base. J'obtiens l'erreur suivante:

A potentially dangerous Request.Form value was detected from the client (email="<p class="MsoNormal"...").
Description: Request Validation has detected a potentially dangerous client input value, and processing of the request has been aborted. This value may indicate an attempt to compromise the security of your application, such as a cross-site scripting attack. To allow pages to override application request validation settings, set the requestValidationMode attribute in the httpRuntime configuration section to requestValidationMode="2.0". Example: <httpRuntime requestValidationMode="2.0" />. After setting this value, you can then disable request validation by setting validateRequest="false" in the Page directive or in the <pages> configuration section. However, it is strongly recommended that your application explicitly check all inputs in this case. For more information, see http://go.microsoft.com/fwlink/?LinkId=153133.

N'ayant pas de HttpRuntime, j'ai modifié dans mon webCOnfig la balise runtime(sait-on jamais ). Ainsi j'ai:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
<runtime requestValidationMode="2.0" >
    <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
      <dependentAssembly>
        <assemblyIdentity name="System.Web.Mvc" publicKeyToken="31bf3856ad364e35" />
        <bindingRedirect oldVersion="1.0.0.0-2.0.0.0" newVersion="3.0.0.0" />
      </dependentAssembly>
    </assemblyBinding>
  </runtime>

et plus haut:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
    <pages validateRequest="false">
      <namespaces>
        <add namespace="System.Web.Helpers" />
        <add namespace="System.Web.Mvc" />
        <add namespace="System.Web.Mvc.Ajax" />
        <add namespace="System.Web.Mvc.Html" />
        <add namespace="System.Web.Routing" />
        <add namespace="System.Web.WebPages"/>
      </namespaces>
    </pages>

Mais j'ai toujours la même erreur...

[gebeo]

Bonjour,

L'utilisation d'un encodage (HtmlEncode) avant l'insert en base devrait régler le problème.

De cette façon on est sûr de manipuler du texte et de ne pas exécuter du code malicieux qui traînerait dans le corps du mail

[john85]

Salut, merci pour ta reponse. J'ai donc encoder mon html dans le controller:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 newDem.EtatValue = 0;
            newDem.Email = Server.HtmlEncode(email);
            newDem.ResponsableID = null;
            newDem.VendeurID = IdVendeur; 
            db.Demandes.Add(newDem);
            db.SaveChanges();

malheureusement j'ai la même erreur. Cela signifie t'il que la vérification se fait plus en amont, dès la soumission du formulaire? Il faudrait donc que j'encode plus tôt mon html, mais je ne pense pas pouvoir le faire dans la vue

[gebeo]

Hmm, je n'ai pas du prendre le problème dans le bon sens.

D'ailleurs l'enregistrement en lui même en base ne devrait pas poser de problème, ce n'est pas plus tôt que l'exception est générée ?

Par défaut, MVC n'autorise pas le post de données contenant du markup Html. Il ne valide pas ton post et génère une exception.

Dans ton cas, tu veux justement permettre la saisie de code html, il faut donc désactiver le validation request.

Tu ne peux pas utiliser la directive <%@ Page ValidateRequest=”false” %> ni le mettre dans le webconfig comme avec les webforms me semble t'il.

Par contre tu peux placer un attribut "ValidateInput" sur l'action qui récupère les données de ton post pour le désactiver :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
[ValidateInput(false)]
public ActionResult ActionName()
{
    if (!ModelState.IsValid)
...

ça m'apprendra à lire en diagonale

[john85]

C'est exactement ça! merci beaucoup,simple et efficace. J'ai maintenant mon html qui s'enregistre en base. Du coup, j'ai fait un fichier HTML test dans lequel j'ai collé l'enregistrement: j'ai bien mon tableau qui s'affiche, donc le html enregistré est bon. Par contre, dans mon application, quand je veux afficher la variable, cette derniere est afficher comme du plan text.
Dans ma vue, j'ai mis:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
 
<div class="clientEmail" >
@Html.Encode(Model.Email)
</div>

J'ai aussi essayé directement le @Model.Email , mais même résultat.Par la suite, je me suis dit qu'il fallait encoder le HTML avant de le passer à la vue, donc directement dans le controller, j'ai fait un:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
laDemande.Email = Server.HtmlEncode(laDemande.Email);

sans succès.
Donc comment puis-je dire au browser d'interpréter les balises HTML?

Encore merci pour la DataAnnotation.

[Feez]

Salut,

Essaye ceci,

dans ton Controller:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

Server.HtmlDecode()

et dans ta vue:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

@Html.Raw()

[john85]

Salut, merci de te pencher sur mon probleme.
d'autant que tu l'as résolus en fait...ça marche nickel
Je n'ai pas bien saisi la subtilité du encode/decode, mais bon. Le raw me permet bien d'avoir mon tableau HTML avec les couleurs et tout et tout jolie.

Merci à vous