Ist auf dieser Seite erklärt: http://www.microsoft.com/germany/msdn/library/net/aspnet/AbwehrVonWebangriffenMitASPNET.mspx
Henri asp.net@glengamoi.com schrieb am 10.05.05 14:16:39: Was ist XSS-Injection ??? André -----Ursprüngliche Nachricht----- Von: [EMAIL PROTECTED] [mailto:[EMAIL PROTECTED] Im Auftrag von "Henri Löbel" Gesendet: Dienstag, 10. Mai 2005 13:33 An: asp.net@glengamoi.com Betreff: RE: [Asp.net] dangerous Request.Form value Dass ich das auch applikationsweit ausschalten kann, war mir nicht bewusst - Danke Alex. Um mein Sicherheitsgefühl ein wenig zu stärken: In der Seite ValidateRequest auf false schalten. FreeTextBox.Text mit HtmlEncode behandeln. Behandelten Text in DB speichern. Aus der DB ausgelesenen Text mit HtmlDecode behandeln. Diesen in HTML oder in einem Controls ausgeben. Bin ich mit dieser Verfahrensweise gegen XSS-Injection geschützt? Henri asp.net@glengamoi.com schrieb am 10.05.05 13:17:43: Hallo, > > Hintergrund ist, dass ich die Dokumentation schreiben lassen > will und dazu dem Anwender die FreeTextBox zur Verfügung > stelle (sieht so schön nach Word aus). > > Beim Ausprobieren bin ich auf den im Betreff genannten Fehler > gestoßen, aber ValidateRequest komplett auszuschalten behagt > mir auch nicht so. HtmlEncode allein scheint auch nicht die > Lösung zu sein. Ich geb die (formatierte Eingabe) der TextBox > nach Klick auf Speichern in einem Label aus (lbl.Text = > HtmlEncode(FreeTextBox1.Text)). > > Hab ich nur die Chance über ValidateRequest oder gibt es Alternativen? > http://aspxfiles.com/default.aspx/AspxFiles.validateRequest auf Seitenebene anwenden. Oder geht Dir das auch noch zu weit? Gruss Alex _______________________________________________ Asp.net Mailingliste, Postings senden an: Asp.net@glengamoi.com An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net Mailingliste, Postings senden an: Asp.net@glengamoi.com An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net Mailingliste, Postings senden an: Asp.net@glengamoi.com An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net _______________________________________________ Asp.net Mailingliste, Postings senden an: Asp.net@glengamoi.com An-/Abmeldung und Suchfunktion unter: http://www.glengamoi.com/mailman/listinfo/asp.net
