ColdFusion 通过 Java 执行 OWASP esapi

2024-02-13

我有一些旧的 ColdFusion 代码。它最初是为 CF9 编写的，但现在运行在 CF 2016 上。

应用程序.cfc

  local.esapi = createObject("java", "org.owasp.esapi.ESAPI");
  application.esapiEncoder = local.esapi.encoder()

很久以后

常规页面

  form.Reason = application.esapiEncoder.encodeForHtml(form.Reason);

我正在考虑将其替换为

  form.Reason = encodeForHTML(form.Reason);

这些功能一样吗？

是的encodeForX()函数在幕后使用 OWASP 的 ESAPI。encodeForHTML()是CF10+并且有一个canonicalize参数，它将输入降低到最低因子。 CF2016添加了一个encodeFor论点cfoutput用于输出的标签具有类似的功能。还有canonicalize()函数将抛出一个您可以捕获的错误。这对于查看是否有人试图在您的表单或网站上输入恶意输入非常有用。我想不出对输入进行双重或多重编码的合法原因，我会解释为攻击。中的论据encodeForX()函数会将其降低到其基本评估，但它不会抛出错误，只是返回结果输出。就我个人而言，我不确定是否有很多意外的方式来传递由规范化获取的值，我只是宁愿抓住这种尝试并将该用户踢出我的网站。

https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-functions/functions-e-g/encodeforhtml.html https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-functions/functions-e-g/encodeforhtml.html

https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-functions/functions-c-d/Canonicalize.html https://helpx.adobe.com/coldfusion/cfml-reference/coldfusion-functions/functions-c-d/Canonicalize.html

https://www.owasp.org/index.php/Category:编码 https://www.owasp.org/index.php/Category:Encoding

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

ColdFusion 通过 Java 执行 OWASP esapi 的相关文章

cfargument 可以是“list”类型吗？

我想有一个这样的争论
如何设置PDF页眉的高度？

有谁知道如何设置生成的pdf中标题的高度
使用 cfsqltype 是一个好的做法吗？

编写 cfqueryparam 或 cfprocparam 时 cfsqltype 是可选的不过我通常会看到它的编码指定 cfsqltype 有什么好处吗主要好处是在将查询输入传递到查询之前对查询输入进行额外的健全性检查另外对于
ColdFusion 11：更改扩展 Application.cfc 中不同函数的应用程序“this”范围元数据

我对 ColdFusion 应用程序工作流程有了大致的了解但有些部分我仍然不清楚一般工作流程如下公共应用程序设置已设置即 this name this mappings ext 应用程序启动时会话开始时请求开始时我有一个带有
ColdFusion 将表单值转换为结构

我正在使用命名格式report field name 为我的ColdFusion 应用程序构建一个表单当使用RoR 或CFWheels 时它会在后端提供一个名为report 的结构其中包含我的所有字段名称我使用的是 FW 1 因此所
有没有办法解决这个 cfqueryparam 内存泄漏？

Updates 我已将错误提交给 Adob e 并引用了这个 SO 问题在发生问题的实际代码中我决定删除对 cfqueryparam 的使用我现在使用自定义函数根据类型格式化参数我必须处理安全和速度问题但它可以使特定进程在当前负载
获取调试端口时出错 :: 无法使用当前安全信息在 RDS 服务器上进行身份验证。（Adobe 的 ColdFusion 扩展）

我安装了我添加了本地服务器 127 0 0 1 80 创建了工作区现在我想调试我的项目我打开了一些 cfml 文件进入运行和调试选项卡然后单击运行和调试按钮我收到以下错误消息调试器已停止获取调试端口时出错无法使用当
使用 jquery 偶尔出现 ajax 响应错误 {readyState=0, status=0, statusText="error"}

我遇到了使用 jquery 和 Coldfusion 服务器端的 AJAX 响应问题有时有效有时无效当我测试直接调用它的服务器端组件时它总是有效所以我猜问题出在 ajax 响应上我直接从服务器获取 serverurl 所以它不
在 ColdFusion 中，如何显式引用 Application.cfc 中定义的“THIS”范围？

有没有办法显式引用 Application cfc 中定义的 THIS 范围假设我有一个像这样的 Application cfc component this name MyApplication 我知道从网站的任何页面您都可以通过这种
ESAPI getValidInput 方法的使用

我无法使用下面的 of 方法ESAPI class java lang String getValidInput java lang String context java lang String input java lang Strin
使用 cfdiv 绑定时禁用间质性图形

有没有办法阻止 cfdiv 刷新时出现正在加载图形我想防止加载图形然后加载新 html 时出现闪烁通过在标题底部添加这些行它会覆盖正在加载 html 并且似乎可以防止 IE 和 FireFox 中的闪烁效果虽然这似乎可以解决问
如何修剪字符串而不包含空格

如何从字符串中删除空格和其他空白字符我不想只删除字符串末尾的空格而是删除整个字符串的空格您可以使用正则表达式
如何从一个 cfc 文件中函数的查询中调用另一个 CFC 文件中的函数？

我有一个具有多种功能的 cfc 文件 info cfc 如下所示
如何获取当前文件的父文件？

要获取当前 cfm我使用的文件 GetFileFromPath GetCurrentTemplatePath 有没有一种简单的方法来获取当前文件的父文件 IE 如果当前文件是 MyApp Users addUser cfm我想回来Users
严重： getRealPathFromConn 错误

目前我正在调试我们的应用程序中一个看似随机的错误我将尽力提供尽可能多的细节基本上一段时间后我们服务器上某个应用程序的应用程序池就会停止我必须启动它或者有时重新启动 Coldfusion 或更糟糕的是机器才能再次运行服务器日志表明
将 SoapUI 请求转换为 CFHTTP

我正在 SoapUI 中查看一个将标头信息发送到特定端点的请求但我很难在 ColdFusion 中重新创建它下面是 RAW 请求在 SoapUI 中的样子 gt gt GET https test 01 mywebsite com da
如何将 STRUCT - OR - JSON 传递给 Coldfusion CFC 方法

我有一个现有的 CFC 在将结构传递到方法中时可以正常工作问题是我们现在还需要通过 JSON 将数据传递到同一函数中这是 CFC 片段
MySQL LIKE %string% 不够宽容。我还有什么可以用的吗？

我有一位客户询问他们的搜索是否可以搜索公司名称这些名称可以根据用户输入以多种格式进行搜索例如数据库中存储的公司是 A J R Kelly Ltd 如果用户搜索一个 J R Kelly 被发现使用
ColdFusion - 获取下一个要运行的计划任务

该线程对于查找计划任务的下一个运行时间很有用如何找到计划任务的下一次运行时间 https stackoverflow com questions 10740297 how do i find out the next run time f
如何循环结构体数组并显示所有键值

我正在循环结构数组并尝试分配和存储所有键值如果我将内循环包裹起来

随机推荐

如何在Javascript中延迟setInterval？

我现在在 JavaScript 中反复遇到一个奇怪的问题我似乎无法拖延setInterval longer 发生情况的一个小例子 var loop var count loop setInterval start 30 function
Gedmo Tree getPath 错误：节点与此存储库不相关 500 内部服务器错误 - InvalidArgumentException

我收到错误 Node is not related to this repository 500 Internal Server Error InvalidArgumentException 更新1 如果我设置树并不重要具有特征的存储库 h
将 MediaPicker 添加到常规站点设置

我当前正在进行的项目正在利用租户站点对于每个站点我们希望能够通过修改其设置在管理页面上设置 gt 常规来更改整个租户站点的徽标我通过以下方式向站点设置添加了两个文本字段这个有据可查的教程 http docs orchardpro
使用 ListView 的拖放功能来创建库存 UI

我想使用 ListView 为我的游戏创建一个库存 UI 其中可以通过在关卡中拖放项目来将其从库存中删除如果某个物品没有正确放置仍在物品栏内则应将其放回拖动前的位置我有以下代码但即使在查看了之后我也不知道如何实现我想要的拖放示例
Scala 协方差和下类型界解释

我正在尝试了解使用下界创建新的不可变类型的方法的协方差 class ImmutableArray T item T existing List T Nil private val items item existing def append
Python Opencv自定义控制（增加/减少）视频播放速度

我正在编写一个程序来控制视频播放速度为自定义速率有办法实现这一点吗应该添加什么代码来控制播放速度 import cv2 cap cv2 VideoCapture video mp4 while cap isOpened ret fram
MySQL UPSERT 没有 ON DUPLICATE KEY

我想要一个UPSERT UPDATE如果存在则插入在具有以下字段的 MySQL 表上 CREATE TABLE item uid int 11 NOT NULL AUTO INCREMENT timestamp int 11 NOT N
系统.data.sqlite.net 4

System Data SQLite 是否有 Net 4 版本目前我收到此错误混合模式程序集是针对运行时版本 v2 0 50727 构建的如果没有附加配置信息则无法在 4 0 运行时中加载需要什么附加配置信息或者是否有我可以使
如何在Chrome扩展中获取剪贴板数据？

我很难找到有关如何在 Chrome 扩展程序中添加 Ctrl C 监听器获取剪贴板数据然后写回剪贴板的最新信息我发现的所有旧代码都是针对现已弃用的旧版本基本上你可以使用操作剪贴板document execCommand paste
Spring中@Configuration和@Component有什么区别？

ComponentScan使用两者创建bean Configuration and Component 交换时这两个注释都可以正常工作那有什么区别呢 Configuration 表示一个类声明一个或多个 Bean 方法并且可以被Sprin
启动作业中的“启动进程-NoNewWindow”？

我在启动作业中使用启动进程时遇到问题特别是在使用时 NoNewWindow 例如这个测试代码 Start Job scriptblock Start Process cmd NoNewWindow Wait ArgumentList c
扫描代码注释并转换为标准格式的工具[关闭]

Closed 此问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我正在开发一个 C 项目该项目有许多不同的作者和许多不同的文档风格我是以下的忠实粉丝doxygen
通过 Nginx、Django 提供 206 字节范围服务

我让 Nginx 为我的静态 Django 文件提供服务该文件在 Gunicorn 上运行我正在尝试提供 MP3 文件并让它们具有头部 206 以便 Apple 接受它们用于播客目前音频文件位于我的静态目录中并直接通过 Nginx
受保护的构造函数有哪些实际用途？

为什么有人会声明构造函数受保护我知道构造函数被声明为私有目的是不允许它们在堆栈上创建当一个类是旨在作为抽象类时受保护的构造函数是完全正确的在这种情况下您不希望从类实例化对象而只想使用它来继承还有其他用例例如某些构造参数
使用没有表单的视图创建 django 对象

我想知道如何能够根据用户将要访问的 URL 在数据库中创建对象例如他们将转到 schedule addbid 1 这将在表中创建一个对象其中包含投标的所有者他们投标的时间表以及投标是否已完成这是迄今为止我的投标模型的内容 clas
列表中的枚举值

我有一个枚举类例如 public enum USERTYPE Permanant 1 Temporary 2 在我的业务对象中我只是将这个枚举声明为 private List
如何根据模型类上返回布尔值的方法的结果来过滤查询集？

作为我的模型类之一的成员函数我有一个is visible self user 返回布尔值的方法根据定义它需要请求用户 DjangoUser模型作为输入我希望能够根据对此方法的响应来过滤查询集如何使用此函数作为查询集过滤器对于上
keySet().toArray(new Double[0]) 的作用是什么？

下面的返回有什么作用我该如何使用该值 private Map
提交表单时如何从 mgt-people-picker 获取输入值

我在用着mgt people picker从 ASP Net Razor 应用程序中使用ProxyController从 Graph API 获取所有数据一切正常现在我想从我创建的表单中获取信息其中包含人员列表mgt people
ColdFusion 通过 Java 执行 OWASP esapi

我有一些旧的 ColdFusion 代码它最初是为 CF9 编写的但现在运行在 CF 2016 上应用程序 cfc local esapi createObject java org owasp esapi ESAPI applica

ColdFusion 通过 Java 执行 OWASP esapi

ColdFusion 通过 Java 执行 OWASP esapi 的相关文章

随机推荐

热门标签