【ColdFusion】cfoutputタグを使ったXSS対策(※CF2016以降)

CF2016からcfoutputタグについて
新たに属性encodeforが追加されたようです。

これを使用することでcfoutputタグに囲まれている格式に対して
以前紹介したencodeFor関数を適応できます。
これでencodeFor関数を書かなくて済むみたいです。

属性encodeforに対して有効な設定値は下記の通りです。

属性encodefor設定値
html htmlattribute url javascript css
xml xmlattribute xpath ldap dn

あと「html」を設定した場合のサンプルコードです。

今の所はCF2016を使った開発はやっていませんが、
いずれ触る時には使っていきたい…(:3_ヽ)_

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください