TinyMCE con asp.net, ValidateRequest = false nella pagina, è pericoloso?
-
22-10-2019 - |
Domanda
Sto usando l'editor TinyMCE nella pagina di asp.net. E 'stato configurato bene, ma quando ho provato a testo soem scrittura nell'editor ha sollevato errore "Un potenziale valore di Request.Form pericoloso è stato rilevato dal client con timymce" Ho cercato e venuto a sapere che era bascailly scansione dello script modulo messaggio di input e attacchi di SQL injection.
Per rimuovere questo errore ho messo ValidateRequest=fasle
nella pagina heade nella pagina aspx. Ora sono sicuro di ingresso non è beign convalidato ma è unsecue ora?
mi guida che tipo di minaccia che ha ora e che cosa SAFTY misurare posso prendere per impedirlo. L'editor viene utilizzato per comporre e memorizzare messaggi di posta elettronica. Ho appena letto su alcuni siti che attacchi di script lato client sono possibili da input. Si prega di guida e di aiuto.
Soluzione
questo risposta è sulla falsariga di ciò che si sta cercando.
In sostanza, si deve essere sicuri di html codifica / decodifica tutti i campi di input, se del caso. In realtà, non si può evitare completamente, a meno che si disattiva la convalida. Ma se siete, assicuratevi di prendere misure per evitare l'uso diretto dell'ingresso.