Coldfusion HTMLEditFormat语法问题-XSS_Coldfusion_Xss

Coldfusion HTMLEditFormat语法问题-XSS

coldfusion

Coldfusion HTMLEditFormat语法问题-XSS,coldfusion,xss,Coldfusion,Xss,我试图解决代码中可能存在的XSS缺陷，但遇到了一些问题此代码不适用于第297行-语法错误： #iif(HTMLEditFormat (not url.excludeFinalized),de(" disabled"),de("")) )# 此代码不适用于第298行： #iif(HTMLEditFormat(url.excludeFinalized),de(" checked"),de("")) )# 这个“不是”让我搞砸了——我该如何正确地将HTMLEditFormat放入上面或下面的代码

我试图解决代码中可能存在的XSS缺陷，但遇到了一些问题

此代码不适用于第297行-语法错误：

#iif(HTMLEditFormat (not url.excludeFinalized),de(" disabled"),de("")) )#

此代码不适用于第298行：

#iif(HTMLEditFormat(url.excludeFinalized),de(" checked"),de("")) )#

这个“不是”让我搞砸了——我该如何正确地将HTMLEditFormat放入上面或下面的代码中

#iif(not subgroupExercisesDone and nodeIsRollup,de("disabled"),de(""))#

谢谢你的帮助。我将不胜感激

我相信您需要这种改变：

#iif((not url.excludeFinalized),de(HTMLEditFormat(" disabled")),de("")) )#

您的原始代码围绕一个条件包装了HTMLEditFormat。而且不需要HEF和空字符串，所以您仍然只有一个HTMLEditFormat用法。老实说，我认为你根本不需要HTMLEditFormat

我想。我自己没有测试过。

您不能像那样将NOT放在函数调用中

这更符合你的想法

#iif(NOT HTMLEditFormat(url.excludeFinalized),de(" disabled"),de("")))#

但如果HTMLEditFormaturl.excludeFinalized不能解析为布尔值，则会出现运行时错误。

如果CF版本足够高，则可以使用三元运算符来简化问题。