Coldfusion encodeForHtml()与htmlEditFormat()的比较
Coldfusion encodeForHtml()与htmlEditFormat()的比较,coldfusion,esapi,coldfusion-10,Coldfusion,Esapi,Coldfusion 10,encodeForHtml()(CF10中新增)与htmlEditFormat(),它们有什么不同?我认为这与java的OWASP ESAPI中的encodeForHtml函数相同。在HTML中使用内容可以更安全地避免XSS攻击 <cfsavecontent variable="htmlcontent"> <html> <head> <script>function hello() {alert('hello')}</
encodeForHtml()htmlEditFormat()<cfsavecontent variable="htmlcontent">
<html>
<head>
<script>function hello() {alert('hello')}</script>
</head>
<body>
<a href="#bookmark">Book Mark & Anchor</a><br/>
<div class="xyz">Div contains & here.</div>
<IMG SRC=javascript:alert(&# x27XSS')>
<IMG SRC=javascript:alert('XSS')>
</body>
</html></cfsavecontent>
<cfoutput>#htmleditformat(htmlcontent)#</cfoutput>
<br />
<cfoutput>#encodeforhtml(htmlcontent)#</cfoutput>
函数hello(){alert('hello')}
Div包含&在这里。
#htmleditformat(htmlcontent)#
#encodeforhtml(htmlcontent)#
&&<div>
Here is <i>test</i> html content includes<br/>
<script>alert('hello')</script>
Notice how & rendered with both functions.
</div>
以下是测试html内容包括的内容
警报(“你好”)
注意如何&;使用这两个函数进行渲染。
&。。。如何及;amp;渲染…。。。如何及;渲染…上面的完整示例和更多背景都在总结中:似乎很奇怪,他们不只是通过另一个属性来增强预先存在的标记以使其更安全,或者只是简单地对其进行开箱即用的增强。encodeForHtml()是集合的一部分:encodeForCss()、encodeForJavascript()、encodeForHtmlAttribute(),等等。它还应该转义比原来的htmlEditFormat()更多的内容。因为它们使用不同的输出,所以它们添加了一个新标记作为上述集合的一部分,而不是修改现有标记。这有助于保持与现有代码的向后兼容性。我认为,如果您有多个函数(先提到这些HTML函数,然后是两个JS函数),乍看起来似乎做的是相同的事情,但实际上它们没有做,那么语言也会变得混乱。这让我想知道在什么时候我应该有一个有效的理由来使用HTMLEditFormat()而不是EncodeForHTML()?当10还处于测试阶段时,我仔细阅读了文档,这个问题进入了我的脑海,并一直潜伏在那里。我越想这一点,我认为最让我困扰的是,为什么旧函数没有特别标记为不推荐。对我来说,这只是意味着在新的开发过程中,旧功能的一些用法比总是使用新功能的用法要多。