Uno degli errori più comuni che si generano quando si ha a che fare con codice HTML generato in una pagina HTML (per esempio tramite TinyMCE) è l’errore:

A potentially dangerous Request.Form value was detected from the client …

Questo errore viene sollevato perchè si potrebbe iniettare nella pagina del codice malevolo e quindi generare un possibile attacco al server con tutti i risvolti del caso.
La soluzione che si trova immediatamente facendo una ricerca in rete è quella di impostare l’attributo validateRequest della pagina a false.

Questa soluzione è sicuramente funzionante quando si parla di Asp.NET 3.5 o inferiore, non basta però nella versione 4.0.
Per fare in modo che l’errore non venga sollevato quindi è necessario inserire una direttiva nel file web.confgi e precisamente

<httpRuntime requestValidationMode=”2.0″/>

Ricordo che ad ogni modo conviene sempre invocare la funzione Server.HtmlEncode sul testo da salvare e Server.HtmlDecode sul testo da ottenere.
Inoltre disabilitare il validateRequest rende una pagina potenzialmente vulnerabile.

 

There are currently no comments.