Etiqueta: out
wcf:out
se utiliza para mostrar la salida al usuario. Esta etiqueta proporciona una opción para utilizar una biblioteca de codificación para codificar el valor de salida, protegiéndose contra los posibles ataques de scripts entre sitios.La implementación de la etiqueta wcf:out
comprueba el atributo <XSiteScriptingProtection enable="true"/>
en el archivo wc-server.xml. Si el atributo enable
se establece en true, wcf:out
comprueba si una biblioteca de codificación puede utilizarse para codificar el valor de salida.
wcf:out
lee un archivo XSiteEncoding.properties para decidir sobre las siguientes propiedades:- La clase de codificador que se va a utilizar.
- El método de instancia de codificador que se va a utilizar.
- Los métodos de codificador para cada uno de los formatos de escapa.
A partir del Fixpack 6, el archivo XSiteEncoding.properties se proporciona en el directorio WC_eardir/properties. De forma predeterminada, el archivo utiliza la siguiente clase de codificación que maneja la codificación JavaScript: com.ibm.commerce.foundation.internal.client.taglib.util.XSiteEncoder. Para ver cómo puede cambiarse la clase de codificación utilizando la biblioteca OWASP ESAPI
, consulte el ejemplo en la sección Ejemplo.
Información de etiqueta | |
---|---|
Contenido del cuerpo | vacío |
Atributos
Atributo | Necesario | Tiempo de petición | Tipo | Descripción: |
---|---|---|---|---|
value |
true |
true |
java.lang.String |
El valor que se muestra al usuario. |
escape |
false |
true |
java.lang.String |
Un distintivo que indica si el valor se va a condificar o no con escape. |
escapeFormat |
false |
true |
java.lang.String |
El formato de escape que se va a utilizar. El valor predeterminado es xml . Otros valores posibles son html , js y url . |
Variables
No se han definido variables para la etiqueta wcf:out
.
Ejemplo
El siguiente ejemplo es un fragmento de código de un archivo XSiteEncoding.properties que utiliza la bibliotecaOWASP ESAPI
para la codificación:#Begin XSiteEncoding.properties
#This file sets the encoder properties defined corresponding to OWASP library.
#The encoder class
EncoderClass=org.owasp.esapi.ESAPI
#The static instance method which returns the instance of the Encoder.
EncoderInstanceMethod=encoder
#The escape formats and their corresponding method in the Encoder instance.
js=encodeForJavaScript
html=encodeForHTML
xml=encodeForXML
url=encodeForURL
#End XSiteEncoding.properties