Coldfusion doâs and dontâs 3: veilig plaatsen content
In voorgaande blogs werd uitleg gegeven over bepaalde manieren om content te tonen op een website en werden tips gegeven over het veilig gebruiken van databases. In dit artikel staan enkele tips om veilig content te plaatsen en te gebruiken op je website.
HtmlEditFormat
Als je gebruikmaakt van content die niet vanuit de website zelf komt, zoals reviews van consumenten of data uit webservices, dan is er het risico dat hierin bepaalde informatie zit die er niet in hoort te zitten, zoals code die popups in de browser opent of andere aanpassingen doet aan het uiterlijk van de website.
Met de functie HtmlEditFormat zorg je ervoor dat alle content die geplaatst wordt, wordt getoond als tekst en dat HTML-codes niet als code worden behandeld.
Automatische bots willen bijvoorbeeld wel eens Javascript plaatsen in reactieformulieren. Als je in HTML deze code onveranderd plaatst, krijg je bijvoorbeeld:
ColdFusion:
<p class="reaction">
<cfoutput>#reaction#</cfoutput>
</p>
----
HTML:
<p class="reaction">
<script>
alert('Een waarschuwing die niet van de site komt.');
</script>
</p>
Elke bezoeker op je website krijgt nu een waarschuwing te zien. Als je de content in HtmlEditFormat plaatst, worden de speciale karakters ge-escaped:
ColdFusion:
<p class="reaction">
<cfoutput>#HtmlEditFormat(reaction)#</cfoutput>
</p>
----
HTML:
<p class="reaction">
<script>
alert('Een waarschuwing die niet van de site komt.');
</script>
</p>
Op deze manier kan er geen schadelijke code door derden op je website worden geplaatst.
MimeType bij FileUpload
Je kan bezoekers en andere gebruikers de mogelijkheid geven bestanden te uploaden naar de server. Dit is vrij gebruikelijk als je afbeeldingen wilt uploaden in een CMS, bijvoorbeeld. Om ervoor te zorgen dat je alleen een bepaald type bestand accepteert, kan je een extra argument opgeven bij CFFILE.
CFFILE wordt onder andere gebruikt om bestanden te uploaden. Geef je als argument accept mee en vul je als waarde in een mime-type, dan worden alleen bestanden toegestaan die deze mime-type hebben.
Let op: browsers zelf geven aan wat de mime-type is, dus dit is geen waterdicht systeem.
In CFSCRIPT gebruik je het argument accept bij de functie FileUpload.
Validatie parameters via CFPARAM
Als je parameters direct doorgeeft aan paginaâs, bijvoorbeeld het ophalen van gegevens op basis van een identifier, kan je ervoor zorgen dat er een basale validatie is doormiddel van de tag CFPARAM. Deze tag vraagt in ieder geval een naam, maar via het attribuut type kan je opgeven wat voor type parameter verwacht wordt.
Bijvoorbeeld:
<cfparam name=âURL.Idâ type=ânumericâ />
Bovenstaande staat alleen een numerieke waarde toe en geeft een foutmelding als het iets anders is. Met deze tag kan je ook defaultwaardes opgeven:
<cfparam name=âURL.Idâ type=ânumericâ default=â0â />
CFPARAM is vergelijkbaar met CFARGUMENT, met een van de verschillen dat CFPARAM niet in functies wordt gebruikt, maar in .cfm-templates. In CFSCRIPT maak je gebruik van deze functie via het keyword param: