程序员经验分享-hwhale

ColdFusion 通过 Java 执行 OWASP esapi

2024-02-13

我有一些旧的 ColdFusion 代码。它最初是为 CF9 编写的,但现在运行在 CF 2016 上。

应用程序.cfc

  local.esapi = createObject("java", "org.owasp.esapi.ESAPI");
  application.esapiEncoder = local.esapi.encoder()

很久以后

常规页面

  form.Reason = application.esapiEncoder.encodeForHtml(form.Reason);

我正在考虑将其替换为

  form.Reason = encodeForHTML(form.Reason);

这些功能一样吗?


是的encodeForX()函数在幕后使用 OWASP 的 ESAPI。encodeForHTML()是CF10+并且有一个canonicalize参数,它将输入降低到最低因子。 CF2016添加了一个encodeFor论点cfoutput用于输出的标签具有类似的功能。还有canonicalize()函数将抛出一个您可以捕获的错误。这对于查看是否有人试图在您的表单或网站上输入恶意输入非常有用。我想不出对输入进行双重或多重编码的合法原因,我会解释为攻击。中的论据encodeForX()函数会将其降低到其基本评估,但它不会抛出错误,只是返回结果输出。就我个人而言,我不确定是否有很多意外的方式来传递由规范化获取的值,我只是宁愿抓住这种尝试并将该用户踢出我的网站。

https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-functions/functions-e-g/encodeforhtml.html https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-functions/functions-e-g/encodeforhtml.html

https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-functions/functions-c-d/Canonicalize.html https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-functions/functions-c-d/Canonicalize.html

https://www.owasp.org/index.php/Category:编码 https://www.owasp.org/index.php/Category:Encoding

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

coldfusion

owasp

esapi

coldfusion2016

ColdFusion 通过 Java 执行 OWASP esapi 的相关文章

  • ColdFusion UI 标签到 jQuery 的转换

    我正在尝试将一些具有各种 ColdFusion UI 标签的代码转换为 jQuery 我必须制定一个迁移计划 目前这就是我所拥有的 Tag Replacement CFApplet CFCalendar http jqueryui com

  • 我什么时候应该在 ColdFusion 中使用#?

    这是教授新人 ColdFusion 的最大障碍之一 何时使用 充其量是不明确的 由于使用它们通常不会产生问题 因此大多数人似乎倾向于过度使用它们 那么 基本规则是什么 我认为说哪里不使用 可能更容易 唯一的地方是在 cfif 语句和 cfs

  • 如何在 ColdFusion 中通过多组验证尝试来实现 OWASP ESAPI 验证器?

    我一直在研究 ColdFusion 9 中包含的 OWASP ESAPI 实用程序 ColdFusion 的内置企业安全 API http www petefreitag com item 788 cfm The encoder实用程序非常

  • ESAPI getValidInput 方法的使用

    我无法使用下面的 of 方法ESAPI class java lang String getValidInput java lang String context java lang String input java lang Strin

  • Coldfusion SQL 插入循环

    遇到一个问题 我想我可以看看是否有人对如何解决它有任何想法 基本上 我在单个变量下传递多个值 并且我想使用循环来提取每个单独的值并同时插入它 例如 ischecked 是我用来传入设备值的变量 如果我要选择两个设备 按提交并将变量 form

  • 根据 rowversion 值更新记录?

    我最近实现了SQLrowversion以防止我的系统中出现并发问题 我用rowversion更新表中的单行时在 where 子句中 到目前为止 我已经测试过 似乎是一个很好的解决方案 现在我正在寻找一种简单的方法来在我的系统中实现此功能 这

  • 为什么要打开重定向 URL?

    我一直在浏览 OWASP 前 10 个漏洞 以更深入地了解每种特定类型的漏洞 我已完成最后一项 未经验证的 URL 重定向 我了解这次攻击 我在 OWASP 中读到了有关此类网络钓鱼计划的内容 现在看来这一点是显而易见的 我很难理解为什么这

  • 如何获取当前文件的父文件?

    要获取当前 cfm我使用的文件 GetFileFromPath GetCurrentTemplatePath 有没有一种简单的方法来获取当前文件的父文件 IE 如果当前文件是 MyApp Users addUser cfm我想回来Users

  • 使用 Apache HttpComponents 进行带有 NTLM 身份验证的 http 请求

    快速背景 CFHTTP 不支持 Windows NTLM Authenticate 身份验证 仅支持基本身份验证 我需要发出必须针对 NTLM 进行身份验证的 http 请求 因此我最终推出了自己的 CFHTTP 版本 I found 特里

  • 调用名称中带有变量的变量 - Coldfusion?

    尝试使用方括号表示法来引用动态变量 如果您想了解应用程序 我正在循环访问由查询创建的一组产品 为每个产品创建与其唯一 SKU 相关的字段 我已将其范围缩小到这段代码 当我尝试运行它时 它会抛出 无效表达式 错误

  • 如何将文件透明地传输到浏览器?

    受控环境 IE8 IIS 7 ColdFusion 当从 IE 发出指向媒体文件 例如 mp3 mpeg 等 的 GET 请求时 浏览器将启动关联的应用程序 Window Media Player 我猜测 IIS 提供文件的方式允许应用程序

  • 使用 Maven 进行 Coldfusion 项目

    我必须处理相当丑陋且大量的 ColdFusion 代码 到目前为止 这些代码都是通过在生产服务器上直接修改来维护的 不要问 我设法清除它的重复和备份并将其放入 Subversion 现在我需要选择一个 make 系统以便能够将其放入持续构建

  • 使用 Coldfusion 的 CFFILE 标签监控 FFMpeg 的进度日志

    我想学习如何使用 ColdFusion 中的 CFFILE 标签来读取文本文件的内容 就我而言 该文本文件是 FFMpeg 在对媒体文件进行转码时生成的进度日志 我想编写一个 ColdFusion 脚本 该脚本将定期轮询进度日志 直到日志表

  • 使用 Coldfusion 11 的 CFdirectory,文件名中存在非 ASCII 字符问题

    我有一个类似的问题 ColdFusion CFDirectory 和法语 https stackoverflow com questions 1715632 coldfusion cfdirectory and the french从而没有

  • 如何绕过 CF8 编码不可打印字符中的 SerializeJSON?

    SerializeJSON 创建具有不可打印字符 即 ASCII 21 的 JSON 这是无效的 JSON 我该如何解决这个问题 删除不可打印字符的正则表达式会起作用吗 什么正则表达式会删除不可打印的字符 嗯 这个简单的解决方案是为 cff

  • 未由 SQLite JDBC 驱动程序实现

    我已经使用以下命令成功创建了 SQLite 数据库的 ColdFusion 数据源sqlitejdbc v056 jar http code google com p sqlitebot downloads detail name sqli

  • 如何使用 owasp antisamy 不将特殊字符转换为 html 实体

    我使用 Owasp Anti samy 和 Ebay 策略文件来防止我的网站受到 XSS 攻击 我还使用 Hibernate 搜索来索引我的对象 当我使用这段代码时 String html special word t use the Eb

  • ColdFusion/PHP 兼容性

    嘿 我有一个关于 ColdFusion 和 PHP 兼容性的问题 我们建立了一个基于 ColdFusion 的社区网站 是否完全可以使用 PHP 将博客和其他社区功能添加到我们的网站 我的意思是把 PHP 和 ColdFusion 结合在一

  • 处理 CFchart 时的实际 XML 文件位置

    谁能告诉我在使用 Coldfusion 时是否需要将 xml 文件放在单独的目录中 现在我已将 xml 文件保存在 cfm 文件所在的同一目录中 当我运行文件 cfm 时 它说 Could not locate the style file

  • Coldfusion - 四舍五入到最接近的 5 美分

    在 Coldfusion 中 如何将小数四舍五入到最接近的 5 美分 因此 数字 0 39675 将四舍五入为 0 40 如果该数字为 0 3690 则会向下舍入为 0 35 我似乎无法通过谷歌找到任何有用的东西 很抱歉问了这个简短的问题

随机推荐

  • 如何在Javascript中延迟setInterval?

    我现在在 JavaScript 中反复遇到一个奇怪的问题 我似乎无法拖延setInterval longer 发生情况的一个小例子 var loop var count loop setInterval start 30 function

  • Gedmo Tree getPath 错误:节点与此存储库不相关 500 内部服务器错误 - InvalidArgumentException

    我收到错误 Node is not related to this repository 500 Internal Server Error InvalidArgumentException 更新1 如果我设置树并不重要具有特征的存储库 h

  • 将 MediaPicker 添加到常规站点设置

    我当前正在进行的项目正在利用租户站点 对于每个站点 我们希望能够通过修改其设置 在管理页面上 设置 gt 常规 来更改整个租户站点的徽标 我通过以下方式向站点设置添加了两个文本字段这个有据可查的教程 http docs orchardpro

  • 使用 ListView 的拖放功能来创建库存 UI

    我想使用 ListView 为我的游戏创建一个库存 UI 其中可以通过在关卡中拖放项目来将其从库存中删除 如果某个物品没有正确放置 仍在物品栏内 则应将其放回拖动前的位置 我有以下代码 但即使在查看了之后我也不知道如何实现我想要的拖放示例

  • Scala 协方差和下类型界解释

    我正在尝试了解使用下界创建新的不可变类型的方法的协方差 class ImmutableArray T item T existing List T Nil private val items item existing def append

  • Python Opencv自定义控制(增加/减少)视频播放速度

    我正在编写一个程序来控制视频播放速度为自定义速率 有办法实现这一点吗 应该添加什么代码来控制播放速度 import cv2 cap cv2 VideoCapture video mp4 while cap isOpened ret fram

  • MySQL UPSERT 没有 ON DUPLICATE KEY

    我想要一个UPSERT UPDATE如果存在 则插入 在具有以下字段的 MySQL 表上 CREATE TABLE item uid int 11 NOT NULL AUTO INCREMENT timestamp int 11 NOT N

  • 系统.data.sqlite.net 4

    System Data SQLite 是否有 Net 4 版本 目前我收到此错误 混合模式程序集是针对运行时版本 v2 0 50727 构建的 如果没有附加配置信息 则无法在 4 0 运行时中加载 需要什么 附加配置信息 或者是否有我可以使

  • 如何在Chrome扩展中获取剪贴板数据?

    我很难找到有关如何在 Chrome 扩展程序中添加 Ctrl C 监听器 获取剪贴板数据 然后写回剪贴板的最新信息 我发现的所有旧代码都是针对现已弃用的旧版本 基本上你可以使用操作剪贴板document execCommand paste

  • Spring中@Configuration和@Component有什么区别?

    ComponentScan使用两者创建bean Configuration and Component 交换时这两个注释都可以正常工作 那有什么区别呢 Configuration 表示一个类声明一个或多个 Bean 方法并且可以被Sprin

  • 启动作业中的“启动进程-NoNewWindow”?

    我在启动作业中使用启动进程时遇到问题 特别是在使用时 NoNewWindow 例如这个测试代码 Start Job scriptblock Start Process cmd NoNewWindow Wait ArgumentList c

  • 扫描代码注释并转换为标准格式的工具[关闭]

    Closed 此问题正在寻求书籍 工具 软件库等的推荐 不满足堆栈溢出指南 help closed questions 目前不接受答案 我正在开发一个 C 项目 该项目有许多不同的作者和许多不同的文档风格 我是以下的忠实粉丝doxygen

  • 通过 Nginx、Django 提供 206 字节范围服务

    我让 Nginx 为我的静态 Django 文件提供服务 该文件在 Gunicorn 上运行 我正在尝试提供 MP3 文件并让它们具有头部 206 以便 Apple 接受它们用于播客 目前 音频文件位于我的静态目录中 并直接通过 Nginx

  • 受保护的构造函数有哪些实际用途?

    为什么有人会声明构造函数受保护 我知道构造函数被声明为私有 目的是不允许它们在堆栈上创建 当一个类是 旨在作为 抽象类时 受保护的构造函数是完全正确的 在这种情况下 您不希望从类实例化对象 而只想使用它来继承 还有其他用例 例如某些构造参数

  • 使用没有表单的视图创建 django 对象

    我想知道如何能够根据用户将要访问的 URL 在数据库中创建对象 例如 他们将转到 schedule addbid 1 这将在表中创建一个对象 其中包含投标的所有者 他们投标的时间表以及投标是否已完成 这是迄今为止我的投标模型的内容 clas

  • 列表中的枚举值

    我有一个枚举类 例如 public enum USERTYPE Permanant 1 Temporary 2 在我的业务对象中 我只是将这个枚举声明为 private List

  • 如何根据模型类上返回布尔值的方法的结果来过滤查询集?

    作为我的模型类之一的成员函数 我有一个is visible self user 返回布尔值的方法 根据定义 它需要请求用户 DjangoUser模型 作为输入 我希望能够根据对此方法的响应来过滤查询集 如何使用此函数作为查询集过滤器 对于上

  • keySet().toArray(new Double[0]) 的作用是什么?

    下面的返回有什么作用 我该如何使用该值 private Map

  • 提交表单时如何从 mgt-people-picker 获取输入值

    我在用着mgt people picker从 ASP Net Razor 应用程序中 使用ProxyController从 Graph API 获取所有数据 一切正常 现在我想从我创建的表单中获取信息 其中包含人员列表mgt people

  • ColdFusion 通过 Java 执行 OWASP esapi

    我有一些旧的 ColdFusion 代码 它最初是为 CF9 编写的 但现在运行在 CF 2016 上 应用程序 cfc local esapi createObject java org owasp esapi ESAPI applica

热门标签