我有一个在 CF2016 上运行的应用程序。我们最近添加了Canonicalize() 和其他一些功能来防止xss 攻击。使用此应用程序的大多数客户端都在 CF2016 上,但其中有几个在 CF9 上(明年左右会升级)
代码失败是因为 CF9 中没有这样的功能。有很多方法可以处理它,但是如果我必须编写一个自定义的 Canonicalize 函数,我如何使用原生 CF9 函数对输入进行编码?
【问题讨论】:
标签: coldfusion coldfusion-9 cfml canonicalization
不久前我问了一个反方向的问题。见:ColdFusion doing OWASP esapi via Java
规范化是通过 OWASP ESAPI 完成的。首先创建一个 java 对象。它具有所有的编码功能
local.esapi = createObject("java", "org.owasp.esapi.ESAPI");
application.esapiEncoder = local.esapi.encoder();
以后可以
myVariable = application.esapiEncoder.canonicalize(myVariable);
有关org.owasp.ESAPI.encoder() 附带的所有功能的完整列表,请参阅:https://static.javadoc.io/org.owasp.esapi/esapi/2.0.1/org/owasp/esapi/Encoder.html
【讨论】: