.NET HTML Input Kontrolü

Date Ekim 2, 2008

ASP.NET projelerimizde HTML kontrolleri sırasında güvenlikten dolayı karakterlerin filtrelenmesi bazı projelerimizde sorun yaratıyor.

Örneğin bir Gridview kontrolunde formdan gelen html inputlarına yer vermemiz gerekebilir ancak default olarak gelen bazı validating request değerlerinden dolayı problemler yaşanabiliyor.

Bu problemleri aşmak için bazı yollar mevcut onları da şu şekilde sıralayabiliriz.

Her sayfamızın üst bölgesinde yer alan taglar arasına ValidateRequest=”false” değerini ekleyip sayfadaki html kontrollerini göz ardı edebiliriz.

Fakat bu haliyle güvenlik problemlerine sebeb olacaktır.Gelen verinin güvenilirliğini önemsemiyorsanız kısaca bu şekilde problemi halledebiliriz.

Bir diğer yol ise HTML inputlarını forma giriş sırasında kendimiz bir kontrolden geçirmemiz olacaktır.

if (TextBox1.Text.Contains(”<script”))
{
throw new Exception(”Zararlı kod”);
}
else
{
Label1.Text = “Mesaj: “+ Server.HtmlEncode(TextBox1.Text);
}

TextBox’tan girdiğiniz değerler <script> ile başlayan zararlı bir javascript uygulaması olma ihtimaline karşı HtmlEncode fonksiyonunu kullanarak filtreleyebiliyoruz.

Tabi bu örnekleri sizler muhtemel gelebilecek güvenlik tehditlerine örnek olarak çoğaltabilirsiniz.

Category Kategori: ASP.NET

Sende Yorum Yaz ...

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

eXTReMe Tracker