Was ist XSS-Injection ??? Andr�
-----Urspr�ngliche Nachricht----- Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Im Auftrag von "Henri L�bel" Gesendet: Dienstag, 10. Mai 2005 13:33 An: [email protected] Betreff: RE: [Asp.net] dangerous Request.Form value Dass ich das auch applikationsweit ausschalten kann, war mir nicht bewusst - Danke Alex. Um mein Sicherheitsgef�hl ein wenig zu st�rken: In der Seite ValidateRequest auf false schalten. FreeTextBox.Text mit HtmlEncode behandeln. Behandelten Text in DB speichern. Aus der DB ausgelesenen Text mit HtmlDecode behandeln. Diesen in HTML oder in einem Controls ausgeben. Bin ich mit dieser Verfahrensweise gegen XSS-Injection gesch�tzt? Henri [email protected] schrieb am 10.05.05 13:17:43: Hallo, > > Hintergrund ist, dass ich die Dokumentation schreiben lassen > will und dazu dem Anwender die FreeTextBox zur Verf�gung > stelle (sieht so sch�n nach Word aus). > > Beim Ausprobieren bin ich auf den im Betreff genannten Fehler > gesto�en, aber ValidateRequest komplett auszuschalten behagt > mir auch nicht so. HtmlEncode allein scheint auch nicht die > L�sung zu sein. Ich geb die (formatierte Eingabe) der TextBox > nach Klick auf Speichern in einem Label aus (lbl.Text = > HtmlEncode(FreeTextBox1.Text)). > > Hab ich nur die Chance �ber ValidateRequest oder gibt es Alternativen? > http://aspxfiles.com/default.aspx/AspxFiles.validateRequest auf Seitenebene anwenden. Oder geht Dir das auch noch zu weit? Gruss Alex _______________________________________________ Asp.net Mailingliste, Postings senden an: [email protected] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net Mailingliste, Postings senden an: [email protected] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net Mailingliste, Postings senden an: [email protected] An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net
