Encodage de sortie
Qu'est-ce que Encodage de sortie ?
Encodage de sortieTransformation des données non fiables dans une forme sûre pour un contexte précis (HTML, JavaScript, URL, SQL, shell) afin qu'elles ne s'évadent pas pour être exécutées comme du code.
L'encodage de sortie (ou échappement) est le contrôle principal contre les injections qui apparaissent lorsque des données sont rendues dans un autre interpréteur. Chaque contexte a ses règles : entités HTML dans un corps HTML, encodage d'attribut pour les attributs HTML, échappements Unicode JavaScript pour les littéraux JS, encodage pourcent pour les URL et API paramétrées pour SQL ou shell. L'encodage doit être appliqué exactement à l'endroit où les données franchissent la frontière de confiance vers l'interpréteur, avec l'encodeur adapté. Combiné à la validation d'entrée et aux requêtes paramétrées, c'est une contre-mesure centrale contre XSS, injection HTML, injection de commandes et injection CSV.
● Exemples
- 01
Encoder en entités HTML les commentaires utilisateurs avant de les afficher dans une page pour empêcher un XSS réfléchi.
- 02
Encoder en JavaScript les valeurs insérées dans un littéral JS au sein d'un template rendu côté serveur.
● Questions fréquentes
Qu'est-ce que Encodage de sortie ?
Transformation des données non fiables dans une forme sûre pour un contexte précis (HTML, JavaScript, URL, SQL, shell) afin qu'elles ne s'évadent pas pour être exécutées comme du code. Cette notion relève de la catégorie Sécurité applicative en cybersécurité.
Que signifie Encodage de sortie ?
Transformation des données non fiables dans une forme sûre pour un contexte précis (HTML, JavaScript, URL, SQL, shell) afin qu'elles ne s'évadent pas pour être exécutées comme du code.
Comment se défendre contre Encodage de sortie ?
Les défenses contre Encodage de sortie combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Encodage de sortie ?
Noms alternatifs courants : Échappement de sortie, Échappement contextuel.