9

encodeForHtml()(CF10の新機能)とhtmlEditFormat()、どのように違いますか?

4

2 に答える 2

10

これは、JavaのOWASPESAPIのencodeForHTML関数と同じだと思います。HTMLのコンテンツを使用するXSS攻撃を回避するためのより安全な方法。

<cfsavecontent variable="htmlcontent">
<html>
    <head>
        <script>function hello() {alert('hello')}</script>
    </head>
    <body>
        <a href="#bookmark">Book Mark &amp; Anchor</a><br/>
        <div class="xyz">Div contains & here.</div>
        <IMG     SRC=&#x6A&#x61&#x76&#x61&#x73&#x63&#x72&#x69&#x70&#x74&#x3A&#x61&#x6C&#x65&#x72&#x74&#x28&#    x27&#x58&#x53&#x53&#x27&#x29>
    <IMG SRC=&#0000106&#0000097&#0000118&#0000097&#0000115&#0000099&#0000114&#0000105&#0000112&#0000116&#0000058&#0000097&#0000108&#0000101&#0000114&#0000116&#0000040&#0000039&#0000088&#0000083&#0000083&#0000039&#0000041>
</body>
</html></cfsavecontent>

<cfoutput>#htmleditformat(htmlcontent)#</cfoutput>
<br />
<cfoutput>#encodeforhtml(htmlcontent)#</cfoutput>
于 2012-05-15T09:35:11.817 に答える
5

EncodeFor *関数は、OWASPESAPIライブラリに基づいています。主な違いは、HTMLEditFormat()は、のような「悪い」文字列を、のような良い文字列に置き換えるだけです。&一方<>EncodeForHTML &amp;()はよりスマートであり、すでにエンコードされているコンテンツを認識でき、二重エンコードされないという利点があります&lt;&gt;

たとえば、ユーザーが次のコンテンツをサイトに送信した場合:

<div>
Here is <i>test</i> html content includes<br/>
<script>alert('hello')</script>
Notice how &amp; rendered with both functions.
</div>

HTMLEditFormat()とEncodeForHTML()はどちらも、「<」と「>」の文字を適切にエスケープします。しかし、HTMLEditFormat()は、出力が次のようになるように、再び盲目的にエンコード&します。

... how &amp;amp; rendered ...

それ以外の場合はencodeForHTML()のようになります。

... how &amp; rendered ...

HTMLEditFormat()は、アンパサンドがすでにエンコードされていることを認識できなかったため、再度エンコードしました。これは簡単な例ですが、ESAPIライブラリがよりスマートであり、したがってより安全であることを示しています。

結論として、CF10 +でHTMLEditFormat()を使用する理由はありません。最大限の保護を得るには、フォーマット関数をエンコード関数に置き換える必要があります。

上記の完全な例とその他の背景は、isummationにあります:http ://www.isummation.com/blog/day-2-avoid-cross-site-scripting-xss-using-coldfusion-10-part-1/

于 2016-04-06T00:21:50.310 に答える