HTMLAttributeEncoder - Exemples
| HTMLAttributeEncoder = class (Encoder) | Interface de HTMLAttributeEncoder | Exemples de HTMLAttributeEncoder |
// Exemple de script dans un WebScript de Webprocess
// qui affiche une page de la couleur passée dans le paramètre d'url "color"
// et qui renvoie une page jaune si ce dernier n'est pas renseigné
// si on n'encode pas la valeur du paramètre, il y a un risque d'injection XSS
// Ex : /WebProcess.cit/NomDuWebScript?color="><script>alert('toto')</script><a href="
uses System.Net, System.Encoding;
var color := WebRequest.QueryField['color'] ?? 'yellow';
// encodage de la chaîne de caractères pour éviter l'injection XSS
color := HTMLAttributeEncoder.Encode(color);
WebResponse.ContentText['html'] := '<html><body bgcolor="' + color + '">';
// qui affiche une page de la couleur passée dans le paramètre d'url "color"
// et qui renvoie une page jaune si ce dernier n'est pas renseigné
// si on n'encode pas la valeur du paramètre, il y a un risque d'injection XSS
// Ex : /WebProcess.cit/NomDuWebScript?color="><script>alert('toto')</script><a href="
uses System.Net, System.Encoding;
var color := WebRequest.QueryField['color'] ?? 'yellow';
// encodage de la chaîne de caractères pour éviter l'injection XSS
color := HTMLAttributeEncoder.Encode(color);
WebResponse.ContentText['html'] := '<html><body bgcolor="' + color + '">';