Шифрование вывода

Oracle Responsys использует шифрование вывода для защиты форм от XSS-атак.

XSS - это тип веб-атаки, во время которой пользователю отправляется злонамеренный код, обычно в форме сценария для браузера. Этот вредоносный код может получить доступ к любым файлам cookie, идентификаторам сеансов или другим уязвимым сведениям, которые сохраняются браузером. Например, во время атаки может быть отправлено сообщение электронной почты, содержащее ссылку на форму Responsys. Когда получатель щелкает эту ссылку, URL-адрес, включающий злонамеренный код, отправляется на сервер Responsys. Если сервер Responsys отправит страницу назад пользователю, злонамеренный код будет выполняться в браузере пользователя.

Дополнительные сведения о предотвращении XSS-атак см. в руководстве пользователя по предотвращению XSS-атак на формы.

Защита форм от XSS-атак

Если для учетной записи включено шифрование вывода, его можно включить для форм для защиты полей ввода пользователя и переменных настройки от XSS-атак.

Для защиты полей ввода пользователя необходимо включить шифрование вывода для формы. Для защиты переменных настройки необходимо использовать встроенные функции $outputencoding()$ (для HTML) и $outputjsencoding()$ (для JavaScript).

Обратите внимание, что новые и существующие формы не защищены по умолчанию. Формы, созданные из существующей формы, сохраняют настройку этой существующей формы.

Защита полей ввода пользователя

Для защиты полей ввода пользователя необходимо включить шифрование вывода для формы. Когда форма защищена, в ней автоматически защищены также все поля.

1. На странице "Папки" щелкните рядом с именем формы и выберите Шифрование вывода.
   Этот параметр недоступен, если для учетной записи отключено шифрование вывода. По умолчанию для учетной записи включено шифрование вывода. Если для учетной записи не включено шифрование вывода, обратитесь в службу поддержки Responsys.
   
   
2. Установите флажок Включение шифрования выходных данных для этой формы.
   Теперь форма и все поля ввода пользователя защищены.
   
   

3. При необходимости снимите флажки для полей, которые не нужно защищать.

Обратите внимание, что защита формы и полей ввода пользователя не защищает переменные настройки в форме. Для защиты переменных настройки используйте встроенные функции $outputencoding()$ (для HTML) и $outputjsencoding()$ для (JavaScript).

См. также

• Общие сведения о встроенных функциях Oracle Responsys
• Руководство по встроенным функциям Oracle Responsys