Encodage de sortie

Oracle Responsys utilise l'encodage de sortie pour protéger les formulaires contre l'exécution de scripts de site à site (XSS).

Le XSS est un type d'attaque Web dans lequel l'attaquant envoie du code malveillant, généralement sous forme de script côté navigateur, à un utilisateur. Le script malveillant peut accéder aux cookies, aux variables de session ou à toute autre information sensible conservée par le navigateur. Un attaquant peut par exemple envoyer un courriel contenant un lien vers un formulaire Responsys. Lorsque le destinataire clique sur ce lien, l'URL (code malveillant inclus) est envoyée au serveur Responsys. Si le serveur Responsys renvoie une page à l'utilisateur, le code malveillant est exécuté dans le navigateur de ce dernier.

Pour plus d'informations sur la prévention des attaques XSS, consultez le document Cross Site Scripting Prevention on Forms User Guide.

Protéger les formulaires contre les attaques XSS

Si le codage de sortie est activé pour le compte, vous pouvez l'activer pour les formulaires afin de protéger les champs de saisie utilisateur et les variables de personnalisation contre les attaques XSS.

Pour protéger les champs de saisie utilisateur, activez le codage pour le formulaire concerné. Pour protéger les variables de personnalisation, utilisez les fonctions intégrées $outputencoding()$ (pour HTML) et $outputjsencoding()$ (pour JavaScript).

Notez que les formulaires nouveaux et existants ne sont pas protégés par défaut. Les formulaires que vous créez à partir d'un formulaire existant conservent les paramètres de ce dernier.

Protéger les champs de saisie utilisateur

Pour protéger les champs de saisie utilisateur d'un formulaire, vous devez activer le codage pour ce formulaire. Cela fait, la protection s'étend automatiquement à tous les champs contenus dans le formulaire.

1. Dans la page Dossiers, cliquez sur en regard du nom du formulaire et sélectionnez Encodage de sortie.
   Cette option n'est pas disponible si l'encodage de sortie est désactivée pour le compte. Par défaut, l'encodage de sortie est activé pour un compte. Si l'encodage de sortie n'est pas activé pour votre compte, contactez le support Responsys.
   
   
2. Cochez la case Activer l'encodage de sortie pour ce formulaire .
   Le formulaire et tous les champs de saisie utilisateur sont à présent protégés.
   
   

3. Le cas échéant, désactivez les cases à cocher correspondant aux champs que vous ne souhaitez pas protéger.

Notez que le fait d'activer la protection d'un formulaire et des champs de saisie utilisateur ne protège pas les variables de personnalisation que contient ce formulaire. Pour protéger ces variables, utilisez les fonctions intégrées $outputencoding()$ (pour HTML) et $outputjsencoding()$ (pour JavaScript).

Documentation connexe

• Comprendre les fonctions intégrées Oracle Responsys
• Guide des fonctions intégrées Oracle Responsys