Hen*_*nry 5 xml security coldfusion
今天在以下网址发表评论:http://www.bennadel.com/blog/2004-Escaping-Form-Values-Understanding-The-ColdFusion-htmlEditFormat-Life-Cycle.htm作者:Rick Osborne
我已经开始移动我的学生
htmlEditFormat过来xmlFormat.正如你所说,它可以捕获更多字符,但它对纯XML也很有用,输入速度更快.我无法想出坚持使用htmlEditFormat的令人信服的理由.
我们都应该开始使用XmlFormat()吗?您是否可以想到一个"令人信服的理由",而不是性能稍慢?
更新:以下答案不再相关。我注意到通过使用 XMLFormat() 而不是 HTMLEditFormat() ,IE 不会解释',从而造成严重破坏。
在我看来,如果它捕获更多(例如 Jason Dean 指出的单引号)从而使您的应用程序更安全,那么我将承受性能损失。在所有现实中,性能损失可能有多大……1 或 2 毫秒?
在即将发布的 cfwheels 1.1 版本中,我添加了一个 h() 方法,它是 htmleditformat() 方法的包装器。读完本的文章和这篇文章后,我将把它改用 XMLFormat() 来代替。
| 归档时间: |
|
| 查看次数: |
767 次 |
| 最近记录: |