我正在使用 EncodeForHTML()
来防止跨站脚本 (XSS) 攻击。这样做时,一些文本字段为:
step 1: cost too much to keep. #3 bad business decision
在数据库中存储为:
step 2: cost too much to keep. 
#3&#4 bad business decision
然后我使用 canonicalize 取回原始字符串:
#canonicalize(fieldName, false, false ,true)#
它应该返回上面步骤 1 中输入的内容。
但是, 显示为空白字符。它看起来几乎像一个正方形。对于任何后跟单个数字的
都会发生这种情况。
这是 ColdFusion 2018。关于如何恢复默认的 #3
有什么想法吗?
最佳答案
好的,让我们来看看:
编码 #3
对于 HTML
#
变成#
(十六进制实体)
3
变成3
(无需编码)
&
变成&
(命名实体)
#
变成#
(十六进制实体)
4
变成4
(无需编码)
Note:


in your example is CarriageReturn and LineFeed, so basically there is a newline in front of#3
. We will ignore this for now.
解码3&4
对于 HTML
无论您是否使用 decodeForHtml()
或canonicalize()
:
#
变成#
3
变成3
&
变成&
#
变成#
4
变成4
这是绝对正确的,这里没有问题。所以...
为什么我会看到□?
很简单:您正在 HTML 中输出解码值。
如果您告诉浏览器渲染 #3
作为 HTML,浏览器将“智能检测”不完整的实体。实体始终以 &
开头。这就是为什么您应该将实际的 & 符号编码为 &
,因此浏览器将其识别为文字字符。现在大多数浏览器都会自动检测单个/独立&
并将对其进行相应的编码。但是,在您的情况下,浏览器假设您想说 
(缩写 
或 
),即 control character EOT并且无法打印,结果为□。
解决方案
每当您想要以 HTML 形式显示某些内容时,您都必须对这些值进行编码。如果您需要检查 ColdFusion 中的变量,请首选 <cfdump var="#value#">
(或 writeDump(value)
)而不是仅通过 <cfoutput>#value#</cfoutput>
输出值(或writeOutput(value)
)。
演示
<cfset charsToEncode = [
"##", <!--- we have to escape # in ColdFusion by doubling it --->
"3",
"&",
"##", <!--- we have to escape # in ColdFusion by doubling it --->
"4"
]>
<h2>encodeForHtml</h2>
<cfloop array="#charsToEncode#" index="char">
<cfdump var="#encodeForHtml(char)#"><br>
</cfloop>
<cfset charsToDecode = [
"&##x23;", <!--- we have to escape # in ColdFusion by doubling it --->
"3",
"&",
"&##x23;", <!--- we have to escape # in ColdFusion by doubling it --->
"4"
]>
<h2>decodeForHtml</h2>
<cfloop array="#charsToDecode#" index="char">
<cfdump var="#decodeForHtml(char)#"><br>
</cfloop>
<h2>canonicalize</h2>
<cfloop array="#charsToDecode#" index="char">
<cfdump var="#canonicalize(char, false, false)#"><br>
</cfloop>
<h2>encoding the output PROPERLY</h2>
<cfoutput>#encodeForHtml("##3&##4")#</cfoutput><br>
<cfoutput>#encodeForHtml(decodeForHtml("&##x23;3&&##x23;4"))#</cfoutput><br>
Note: due to the mix of entities, canonicalize() has to guess the begin/end of each entity and is having issues with the ampersand here:<br>
<cfoutput>#encodeForHtml(canonicalize("&##x23;3&##x26;&##x23;4", false, false))#</cfoutput><br>
<h2>encoding the output INCORRECTLY</h2>
#3<br>
<cfoutput>#decodeForHtml("&##x23;3&&##x23;4")#</cfoutput><br>
<cfoutput>#canonicalize("&##x23;3&&##x23;4", false, false)#</cfoutput><br>
关于coldfusion - Canonicalize() 函数将字符转换为空格,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/57499693/