Request.Form y posible valor peligroso...

Hola foreros.

En esta ocasión tengo en un webform un editor de texto (exactamente el FCKeditor). Hasta el momento he conseguido que funcione pero a la hora de recuperar el contenido del editor, si tiene algún símbolo "mayor"(>) o "menor"(<) me da fallo a la hora de meter el contenido en un label (por ejemplo). El fallo es el siguiente:

Se detectó un posible valor Request.Form peligroso en el cliente [...]

Ejemplo: si meto un texto plano no hay problema, pero si meto un texto con formato (en negrita por ejemplo): <strong>negrita<strong> me da problema.

¿Alguien tiene alguna sujerencia?

PD: el mensaje de error también dice:

Puede deshabilitar la validación de solicitudes estableciendo validateRequest en false en la directiva de la página o en la sección de configuración de.
¿Dónde tengo que poner exactamente el validateRequest?

Saludos

Me autorespondo de nuevo (al estilo luicl... )

En la parte de HTML:

en <@ Page [...] validateRequest="false">

Parece ser que con validateRequest="false" está más indefensa la web... pero ese ya es otro tema.

Saludos!!!

De hecho cuando usas editores web como richtextbox, freetextbox, fckeditor...etc tienes que poner la page en validaterequest en false ya que las etiquetas html las toma como no seguras, aunque propiamente es para que no se escriban scripts dentro de un cuadro de entrada (textbox), mas que nada cuestiones de seguridad (pero ya depende de tu aplicacion)

Para mas info data una vuelta por éste link.

http://msdn.microsoft.com/library/de...protection.asp


Salu2

Como siempre... muchas gracias maestro.

Estoy haciendo un formulario para llenar unas tablas de un base de datos.

Quiero validar los campos, textbox y dropdownlist.

Pero al ejecutar mi codigo me da el siguiente error:

Se detectó un posible valor Request.Form peligroso en el cliente (PadresCDC=" <!--Seleccionar CDC ...").
Descripción: La validación de solicitudes ha detectado un posible valor de entrada del cliente peligroso, y se ha anulado el procesamiento de la solicitud. Este valor puede indicar un intento de comprometer la seguridad de la aplicación, como un ataque de secuencias de comandos entre sitios. Puede deshabilitar la validación de solicitudes estableciendo validateRequest en false en la directiva de la página o en la sección de configuración de . Sin embargo, se recomienda que la aplicación compruebe explícitamente todas las entradas en este caso.

Detalles de la excepción: System.Web.HttpRequestValidationException: Se detectó un posible valor Request.Form peligroso en el cliente (PadresCDC=" <!--Seleccionar CDC ...").

Error de código fuente:

Se ha generado una excepción no controlada durante la ejecución de la solicitud Web actual. La información sobre el origen y la ubicación de la excepción pueden identificarse utilizando la excepción del seguimiento de la pila siguiente.

Seguimiento de la pila:


[HttpRequestValidationException (0x80004005): Se detectó un posible valor Request.Form peligroso en el cliente (PadresCDC=" <!--Seleccionar CDC ...").]
System.Web.HttpRequest.ValidateString(String s, String valueName, String collectionName)
System.Web.HttpRequest.ValidateNameValueCollection (NameValueCollection nvc, String collectionName)
System.Web.HttpRequest.get_Form() +113
System.Web.UI.Page.GetCollectionBasedOnMethod()
System.Web.UI.Page.DeterminePostBackMode()
System.Web.UI.Page.ProcessRequestMain()
System.Web.UI.Page.ProcessRequest()
System.Web.UI.Page.ProcessRequest(HttpContext context)
System.Web.CallHandlerExecutionStep.System.Web.Htt pApplication+IExecutionStep.Execute()
System.Web.HttpApplication.ExecuteStep(IExecutionS tep step, Boolean& completedSynchronously) +87


QUISIERA SABER SI ME PUEDEN AYUDAR.

PD: Aunque me dice esto :(Puede deshabilitar la validación de solicitudes estableciendo validateRequest) no me gustaria porque ebi tener esto tipo de validaciones

gracias de antemnano

Si te da problemas, pues deshabilita la validacion, entonces para cuidarte de los scripts crea tus propias validaciones.
Evitas caracteres peligrosos como <> y ' entre otros.

La comprovacion esa está muy bien, pero sabeis si hay alguna forma mas o menos automatica de detectar que se ha metido ese codigo peligroso para informar al usuario del problema de una forma mas adecuada?
graciasss