CF9的规范化替代方案

Question

我有一个在CF2016上运行的应用程序。我们最近添加了Canonicalize()和其他一些功能来防止xss攻击。使用此应用程序的大多数客户端都在CF2016上，但也有几个客户端在CF9上(明年左右会升级)代码失败，因为CF9中没有这样的功能。有很多方法可以处理它，但是如果我必须编写一个自定义的规范化函数，我如何使用本机CF9函数对输入进行编码？

Answer 1

不久前，我问了一个与之相反的问题。请参阅：ColdFusion doing OWASP esapi via Java

规范化是通过OWASP ESAPI完成的。首先创建一个java对象。它具有所有的编码功能

local.esapi = createObject("java", "org.owasp.esapi.ESAPI");
application.esapiEncoder = local.esapi.encoder();

稍后，您可以

myVariable = application.esapiEncoder.canonicalize(myVariable);

有关org.owasp.ESAPI.encoder()附带的所有函数的完整列表，请参阅：https://static.javadoc.io/org.owasp.esapi/esapi/2.0.1/org/owasp/esapi/Encoder.html