Coldfusion do’s and dont’s 3: veilig plaatsen content

Geschreven door: op zondag 31 juli 2016

Leestijd:

In voorgaande blogs werd uitleg gegeven over bepaalde manieren om content te tonen op een website en werden tips gegeven over het veilig gebruiken van databases. In dit artikel staan enkele tips om veilig content te plaatsen en te gebruiken op je website.

HtmlEditFormat

Als je gebruikmaakt van content die niet vanuit de website zelf komt, zoals reviews van consumenten of data uit webservices, dan is er het risico dat hierin bepaalde informatie zit die er niet in hoort te zitten, zoals code die popups in de browser opent of andere aanpassingen doet aan het uiterlijk van de website.

Met de functie HtmlEditFormat zorg je ervoor dat alle content die geplaatst wordt, wordt getoond als tekst en dat HTML-codes niet als code worden behandeld.

Automatische bots willen bijvoorbeeld wel eens Javascript plaatsen in reactieformulieren. Als je in HTML deze code onveranderd plaatst, krijg je bijvoorbeeld:

ColdFusion:


<p class="reaction">

                <cfoutput>#reaction#</cfoutput>

</p>

----

HTML:


<p class="reaction">
        <script>

             alert('Een waarschuwing die niet van de site komt.');

        </script>
</p>

Elke bezoeker op je website krijgt nu een waarschuwing te zien. Als je de content in HtmlEditFormat plaatst, worden de speciale karakters ge-escaped:

ColdFusion:


<p class="reaction">

                <cfoutput>#HtmlEditFormat(reaction)#</cfoutput>

</p>

----

HTML:


<p class="reaction">

                &lt;script&gt;

                               alert('Een waarschuwing die niet van de site komt.');

                &lt;/script&gt;

&lt;/p&gt;

Op deze manier kan er geen schadelijke code door derden op je website worden geplaatst.

MimeType bij FileUpload

Je kan bezoekers en andere gebruikers de mogelijkheid geven bestanden te uploaden naar de server. Dit is vrij gebruikelijk als je afbeeldingen wilt uploaden in een CMS, bijvoorbeeld. Om ervoor te zorgen dat je alleen een bepaald type bestand accepteert, kan je een extra argument opgeven bij CFFILE.

CFFILE wordt onder andere gebruikt om bestanden te uploaden. Geef je als argument accept mee en vul je als waarde in een mime-type, dan worden alleen bestanden toegestaan die deze mime-type hebben.

Let op: browsers zelf geven aan wat de mime-type is, dus dit is geen waterdicht systeem.

In CFSCRIPT gebruik je het argument accept bij de functie FileUpload.

Validatie parameters via CFPARAM

Als je parameters direct doorgeeft aan pagina’s, bijvoorbeeld het ophalen van gegevens op basis van een identifier, kan je ervoor zorgen dat er een basale validatie is doormiddel van de tag CFPARAM. Deze tag vraagt in ieder geval een naam, maar via het attribuut type kan je opgeven wat voor type parameter verwacht wordt.

Bijvoorbeeld:


<cfparam name=”URL.Id” type=”numeric” />

Bovenstaande staat alleen een numerieke waarde toe en geeft een foutmelding als het iets anders is. Met deze tag kan je ook defaultwaardes opgeven:


<cfparam name=”URL.Id” type=”numeric” default=”0” />

CFPARAM is vergelijkbaar met CFARGUMENT, met een van de verschillen dat CFPARAM niet in functies wordt gebruikt, maar in .cfm-templates. In CFSCRIPT maak je gebruik van deze functie via het keyword param:


Andere blogartikelen

  • Het gebruik van een Photoslider

    Geschreven door: op maandag 7 oktober 2019

    Ze zijn er in alle soorten en maten en staan meestal bovenaan een websitepagina. Dan heb ik het natuurlijk over photosliders. Zo bent u vast bekend met de traditionele foto die langzaam vervaagd en wa ...

    Bekijk het artikel »
  • De Controversie van AMP (Accelerated Mobile Pages)

    Geschreven door: op maandag 30 september 2019

    Er heerst al controversie rondom AMP (Accelerated Mobile Pages) sinds Google dit onderwerp heeft ingevoerd! In deze blog duiken we verder in deze controversie en ontdekken we of deze controversie tere ...

    Bekijk het artikel »
  • CSS attribuut font-display

    Geschreven door: op maandag 30 september 2019

    De snelheid van je website is belangrijk. Niet alleen omdat Google je website hierdoor hoger rankt maar ook omdat het gebruiksvriendelijker is voor de bezoekers. Als een website traag laadt, ben je ee ...

    Bekijk het artikel »
Bel 072 5345 888
Onze Middelen en Technologieën
microsoft silver partner
Adobe partner
fd-gazellen-2018.jpg
Google analytics
partners-logo.jpg
Op de hoogte blijven?

Meld u aan voor de gratis nieuwsbrief om op de hoogte te blijven van onze activiteiten