Discussion :

[LhIaScZkTer]

Bonjour à tous,

je suis sur mon premier projet ASP.NET et j'ai quelque soucis comme je ne connais pas bien le Framework .NEt j'ai une question à propos de la sécurité.

Comment fait-on pour se prémunir des injections de code ?
J'ai essayé :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

HttpUtility.HtmlEncode(user_login.Value)

et j'ai aussi rajouté dans le web.config :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<pages validateRequest="true" />

Mais rien n'y fait quand j'essaye une petite injection de code

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

<script>alert('Hello World');</script>

et que j'envoie il me renvoie une page

Erreur du serveur dans l'application Une valeur Request.Form potentiellement dangereuse a été détectée à partir du client (user_login="<script>alert('Hello...").

C'est vraiment super .... mais j'aimerais que cela ne s'affiche plus.

Quelque saurait-il comment faire ?
Merci beaucoup pour votre aide

[lutecefalco]

Faut gérer l'affichage des messages d'erreur ou non dans le web.config