Codificación de salida
¿Qué es Codificación de salida?
Codificación de salidaTransformar datos no confiables a un formato seguro para un contexto específico (HTML, JavaScript, URL, SQL, shell) para que no escapen y se ejecuten como código.
La codificación de salida (o escape) es el control principal contra las inyecciones que surgen cuando los datos se interpretan en otro contexto. Cada contexto tiene reglas propias: codificación de entidades HTML para el cuerpo, codificación de atributos para los atributos HTML, escapes Unicode de JavaScript para literales JS, codificación porcentual para URL y APIs parametrizadas para SQL o shell. La codificación debe aplicarse exactamente donde los datos cruzan la frontera de confianza hacia el intérprete, usando el codificador correspondiente. Combinada con la validación de entrada y las consultas parametrizadas, es una contramedida central frente a XSS, inyección HTML, inyección de comandos e inyección CSV.
● Ejemplos
- 01
Codificar entidades HTML en los comentarios del usuario antes de renderizarlos para evitar XSS reflejado.
- 02
Codificar valores en JavaScript al insertarlos en un literal de cadena dentro de una plantilla renderizada en servidor.
● Preguntas frecuentes
¿Qué es Codificación de salida?
Transformar datos no confiables a un formato seguro para un contexto específico (HTML, JavaScript, URL, SQL, shell) para que no escapen y se ejecuten como código. Pertenece a la categoría de Seguridad de aplicaciones en ciberseguridad.
¿Qué significa Codificación de salida?
Transformar datos no confiables a un formato seguro para un contexto específico (HTML, JavaScript, URL, SQL, shell) para que no escapen y se ejecuten como código.
¿Cómo defenderse de Codificación de salida?
Las defensas contra Codificación de salida combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Codificación de salida?
Nombres alternativos comunes: Escape de salida, Escape contextual.