Coldfusion do’s and dont’s 3: veilig plaatsen content

Geschreven door: op zondag 31 juli 2016

Leestijd:

In voorgaande blogs werd uitleg gegeven over bepaalde manieren om content te tonen op een website en werden tips gegeven over het veilig gebruiken van databases. In dit artikel staan enkele tips om veilig content te plaatsen en te gebruiken op je website.

HtmlEditFormat

Als je gebruikmaakt van content die niet vanuit de website zelf komt, zoals reviews van consumenten of data uit webservices, dan is er het risico dat hierin bepaalde informatie zit die er niet in hoort te zitten, zoals code die popups in de browser opent of andere aanpassingen doet aan het uiterlijk van de website.

Met de functie HtmlEditFormat zorg je ervoor dat alle content die geplaatst wordt, wordt getoond als tekst en dat HTML-codes niet als code worden behandeld.

Automatische bots willen bijvoorbeeld wel eens Javascript plaatsen in reactieformulieren. Als je in HTML deze code onveranderd plaatst, krijg je bijvoorbeeld:

ColdFusion:


<p class="reaction">

                <cfoutput>#reaction#</cfoutput>

</p>

----

HTML:


<p class="reaction">
        <script>

             alert('Een waarschuwing die niet van de site komt.');

        </script>
</p>

Elke bezoeker op je website krijgt nu een waarschuwing te zien. Als je de content in HtmlEditFormat plaatst, worden de speciale karakters ge-escaped:

ColdFusion:


<p class="reaction">

                <cfoutput>#HtmlEditFormat(reaction)#</cfoutput>

</p>

----

HTML:


<p class="reaction">

                &lt;script&gt;

                               alert('Een waarschuwing die niet van de site komt.');

                &lt;/script&gt;

&lt;/p&gt;

Op deze manier kan er geen schadelijke code door derden op je website worden geplaatst.

MimeType bij FileUpload

Je kan bezoekers en andere gebruikers de mogelijkheid geven bestanden te uploaden naar de server. Dit is vrij gebruikelijk als je afbeeldingen wilt uploaden in een CMS, bijvoorbeeld. Om ervoor te zorgen dat je alleen een bepaald type bestand accepteert, kan je een extra argument opgeven bij CFFILE.

CFFILE wordt onder andere gebruikt om bestanden te uploaden. Geef je als argument accept mee en vul je als waarde in een mime-type, dan worden alleen bestanden toegestaan die deze mime-type hebben.

Let op: browsers zelf geven aan wat de mime-type is, dus dit is geen waterdicht systeem.

In CFSCRIPT gebruik je het argument accept bij de functie FileUpload.

Validatie parameters via CFPARAM

Als je parameters direct doorgeeft aan pagina’s, bijvoorbeeld het ophalen van gegevens op basis van een identifier, kan je ervoor zorgen dat er een basale validatie is doormiddel van de tag CFPARAM. Deze tag vraagt in ieder geval een naam, maar via het attribuut type kan je opgeven wat voor type parameter verwacht wordt.

Bijvoorbeeld:


<cfparam name=”URL.Id” type=”numeric” />

Bovenstaande staat alleen een numerieke waarde toe en geeft een foutmelding als het iets anders is. Met deze tag kan je ook defaultwaardes opgeven:


<cfparam name=”URL.Id” type=”numeric” default=”0” />

CFPARAM is vergelijkbaar met CFARGUMENT, met een van de verschillen dat CFPARAM niet in functies wordt gebruikt, maar in .cfm-templates. In CFSCRIPT maak je gebruik van deze functie via het keyword param:


Andere blogartikelen

  • SQL: Geclusterde en niet-geclusterde index

    Geschreven door: op zondag 30 juni 2019

    Het kan soms voorkomen dat het veel tijd kost voordat een bepaalde query resultaten teruggeeft. Dit kan liggen aan een scala aan problemen, zoals het gebruik van veel joins. Wat de query kan helpen ve ...

    Bekijk het artikel »
  • Hoe werkt OAuth 2.0

    Geschreven door: op zondag 30 juni 2019

    In de huidige samenleving is iedereen bijna altijd online, zo ook de applicaties waarvan de mensen gebruik maken. Als je jouw applicatie niet goed afschermt, kan dit allemaal veiligheidsrisico’s met z ...

    Bekijk het artikel »
  • OAuth 2.0: JWT token en claims

    Geschreven door: op zondag 30 juni 2019

    In mijn vorige blog heb ik uitgelegd hoe OAuth 2.0 ervoor kan zorgen dat derde partijen op een veilige manier gebruik kunnen maken van jouw applicatie met behulp van tokens. In deze blog gaan we wat m ...

    Bekijk het artikel »
Bel 072 5345 888
Meer dan 40 bedrijven vertrouwen op ons
Onze Middelen en Technologieën
microsoft silver partner
Adobe partner
fd-gazellen-2018.jpg
Google analytics
partners-logo.jpg
Op de hoogte blijven?

Meld u aan voor de gratis nieuwsbrief om op de hoogte te blijven van onze activiteiten