Bonjour à tous,
me voila confronter à un soucis.
Dans mon application on a la possibilité de créer des éléments dont le nom est saisie via un TextField.
Cette information, une fois sauvegardée, est utilisé dans l'affichage de cet objet au sein d'un arborescence.
Lors d'un test effectué par le client, celui ci à saisie ceci dans le champs de saisie :
"><iframe src=htt://www.google.com">test</iframe>
et là surprise, dans l'arborescence, quand cet objet doit être affiché, nous avons droit à une iframe avec la page google.
Je suppose quand dans l'affichage des nœuds du tri, il doit utiliser un composant HTML et par conséquent interprète le code.
Auriez vous une idée pour bloquer ceci ? existe t'il une façon rapide pour contrôler l'injection de code html dans un formulaire ? ou alors il va falloir faire le contrôle au niveau de la saisie pour voir si il n'y a pas de balise html ?
cela nous cause un gros soucis au niveau de la gestion de la sécurité sur l'application.
merci pour votre aide
Partager