Ausgabeencodierung
Was ist Ausgabeencodierung?
AusgabeencodierungUmwandlung unvertrauenswürdiger Daten in eine für einen bestimmten Ausgabekontext (HTML, JavaScript, URL, SQL, Shell) sichere Form, sodass sie nicht ausbrechen und als Code ausgeführt werden.
Ausgabeencodierung (Escaping) ist die zentrale Maßnahme gegen Injection-Schwachstellen, die entstehen, wenn Daten in einen anderen Interpreter gerendert werden. Jeder Kontext hat eigene Regeln: HTML-Entity-Encoding für den HTML-Body, Attribut-Encoding für HTML-Attribute, JavaScript-Unicode-Escapes für JS-Stringliterale, Prozentkodierung für URLs sowie parametrisierte APIs für SQL und Shells. Sie muss genau dort angewendet werden, wo Daten die Vertrauensgrenze in einen nachgelagerten Interpreter überschreiten, mit dem zum Kontext passenden Encoder. Zusammen mit Eingabevalidierung und parametrisierten Abfragen ist sie eine Kernmaßnahme gegen XSS, HTML-Injection, Command Injection und CSV-Injection.
● Beispiele
- 01
HTML-Entitäten-Encoding für Benutzerkommentare vor dem Rendern, um reflektiertes XSS zu verhindern.
- 02
JavaScript-Encoding für Werte, die in einem servergerenderten Template in ein JS-Stringliteral eingefügt werden.
● Häufige Fragen
Was ist Ausgabeencodierung?
Umwandlung unvertrauenswürdiger Daten in eine für einen bestimmten Ausgabekontext (HTML, JavaScript, URL, SQL, Shell) sichere Form, sodass sie nicht ausbrechen und als Code ausgeführt werden. Es gehört zur Kategorie Anwendungssicherheit der Cybersicherheit.
Was bedeutet Ausgabeencodierung?
Umwandlung unvertrauenswürdiger Daten in eine für einen bestimmten Ausgabekontext (HTML, JavaScript, URL, SQL, Shell) sichere Form, sodass sie nicht ausbrechen und als Code ausgeführt werden.
Wie schützt man sich gegen Ausgabeencodierung?
Schutzmaßnahmen gegen Ausgabeencodierung kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Ausgabeencodierung?
Übliche alternative Bezeichnungen: Ausgabe-Escaping, Kontextuelles Escaping.