Richtlinien für Script-Erstellung und Codierung scripting-coding-guidelines
Scripts
Weiterführende Informationen finden Sie in der JSAPI-Dokumentation für Campaign.
Wenn Sie Scripts mit Workflows, Webanwendungen und JSSP verwenden, folgen Sie diesen Best Practices:
-
Vermeiden Sie möglichst SQL-Anweisungen.
-
Verwenden Sie bei Bedarf parametrierte Funktionen (prepare-Anweisung) anstelle von String-Konkatenation.
Schlechte Praxis:
code language-none sqlGetInt( "select iRecipientId from NmsRecipient where sEmail ='" + request.getParameter('email') + "' limit 1" )
Gute Praxis:
code language-none sqlGetInt( "select iRecipientId from NmsRecipient where sEmail = $(sz) limit 1", request.getParameter('email'));
note important IMPORTANT sqlSelect unterstützt diese Funktion nicht, daher müssen Sie die Abfragefunktion der DBEngine-Klasse verwenden: code language-none var cnx = application.getConnection() var stmt = cnx.query("SELECT sFirstName, sLastName FROM NmsRecipient where sEmail = $(sz)", request.getParameter('email')) for each(var row in stmt) logInfo(row[0] + " : " + row[1]) cnx.dispose()
Um SQL-Injections zu vermeiden, müssen der Zulassungsliste SQL-Funktionen hinzugefügt werden, die in Adobe Campaign verwendet werden sollen. Nachdem sie der Zulassungsliste hinzugefügt wurden, werden sie für Ihre Operatoren im Ausdruckseditor sichtbar. Mehr dazu erfahren Sie auf dieser Seite.
Wenn Sie Benutzereingaben zum Erstellen von Filtern in Abfragen oder SQL-Anweisungen verwenden, müssen Sie diese immer maskieren (siehe die Dokumentation zu Campaign JSAPI - Datenschutz: Escaping-Funktionen). Diese Funktionen sind:
- NL.XML.escape(data)
- NL.SQL.escape(data)
- NL.JS.escape(data)
- NL.XML.escapeAttribute(data)
Schutz Ihres neuen Datenmodells
Ordnerbasis
Weitere Informationen finden Sie auf diesen Seiten:
Spezifische Berechtigungen
Zusätzlich zum ordnerbasierten Sicherheitsmodell können Sie Benutzeraktionen auch mit spezifischen Berechtigungen einschränken:
-
Sie können einige Systemfilter (sysFilter) hinzufügen, um das Lesen/Schreiben Ihrer Daten zu verhindern (siehe diese Seite).
code language-none <sysFilter name="writeAccess"> <condition enabledIf="hasNamedRight('myNewRole')=false" expr="FALSE"/> </sysFilter>
-
Sie können auch einige Aktionen (SOAP Methode) schützen, die in Schemas definiert sind. Legen Sie einfach das Zugriffsattribut mit der entsprechenden benannten Berechtigung als Wert fest.
code language-none <method name="grantVIPAccess" access="myNewRole"> <parameters> ... </parameters> </method>
Weitere Informationen hierzu finden Sie auf dieser Seite.
Überlauftabelle
Wenn Sie vertrauliche Daten (Teil eines Schemas) je nach Zugriffsebene des Benutzers schützen müssen, sollten Sie sie nicht in der Formulardefinition ausblenden (Bedingungen enabledIf/visibleIf ).
Die gesamte Entität wird vom Bildschirm geladen. Sie können sie auch in der Spaltendefinition anzeigen. Erstellen Sie hierzu eine Überlauftabelle. Sehen Sie diese Seite.
Hinzufügen von Captchas in Webanwendungen
Es ist empfehlenswert, öffentlichen Landingpages und Anmeldeseiten ein Captcha hinzuzufügen. Leider ist dies in DCE-Seiten (Digital Content Editor) nicht einfach. Wir zeigen Ihnen, wie Sie ein v5 Captcha oder ein Google reCAPTCHA hinzufügen.
Im DCE wird ein Captcha im Allgemeinen hinzugefügt, indem ein Gestaltungsbaustein erstellt wird, der ihn einfach in den Seiteninhalt einbezieht. Sie müssen eine Script -Aktivität und einen Test hinzufügen.
Gestaltungsbaustein
-
Gehen Sie zu Ressourcen > Kampagnenverwaltung > Gestaltungsbausteine und erstellen Sie einen neuen Gestaltungsbaustein.
-
Verwenden Sie den Inhaltstyp Webanwendung und aktivieren Sie die Option In den Personalisierungsmenüs sichtbar.
Weitere Informationen dazu finden Sie auf dieser Seite.
Dies ist ein Beispiel für ein Kampagnen-Captcha:
code language-javascript <% var captchaID = CaptchaIDGen(); %> <img src="/nms/jsp/captcha.jsp?captchaID=<%=captchaID%>&width=200&height=50&minWordSize=8&maxWordSize=8"/> <input id="captchaValue" name="captchaValue" <%= String(ctx.vars.captchaValid) === "false" ? class="ui-state-error" : "" %>> <input type="hidden" name="captchaID" value="<%=captchaID%>"/> <% if( serverForm.isInputErroneous("captchaValue") ) { %> <script type="text/javascript"> $("#captchaValue").addClass("ui-state-error") </script> <% } %>
-
Mit den Zeilen 1 bis 6 werden alle erforderlichen Eingaben erzeugt.
-
Mit den Zeilen 7 bis zum Ende werden Fehler gehandhabt.
-
Mit Zeile 4 können Sie die Größe des grauen Captcha-Felds (Breite/Höhe) und die Länge des generierten Wortes (minWordSize/maxWordSize) ändern.
-
Bevor Sie Google reCAPTCHA verwenden, müssen Sie sich bei Google registrieren und eine neue reCAPTCHA-Site erstellen.
<div class="g-recaptcha" data-sitekey="YOUR_SITE_KEY"></div>
Sie sollten die Validierungsschaltfläche deaktivieren können, aber da wir keine Standardschaltfläche/keinen Standardlink haben, ist es besser, dies auf der HTML selbst zu tun. Weiterführende Informationen dazu finden Sie auf dieser Seite.
-
Webanwendung aktualisieren
-
Greifen Sie auf die Eigenschaften Ihrer Webanwendung zu, um eine boolesche Variable namens captchaValid hinzuzufügen.
-
Fügen Sie zwischen der letzten Seite und der Aktivität Speicherung ein Skript und einen Test hinzu.
Verbinden Sie den Zweig True mit dem Speicher und den anderen mit der Seite, die das Captcha aufweisen soll.
-
Bearbeiten Sie die Bedingung der Verzweigung True mit
"[vars/captchaValid]"
gleich True . -
Bearbeiten Sie die Aktivität Script . Der Inhalt hängt von der ausgewählten Captcha-Engine ab.
-
Schließlich können Sie Ihren personalisierten Baustein zur Seite hinzufügen: siehe diese Seite.
<head>...</head>
):<script src="https://www.google.com/recaptcha/api.js" async defer></script>
Campaign Captcha
var captchaID = request.getParameter("captchaID");
var captchaValue = request.getParameter("captchaValue");
if( !CaptchaValidate(captchaID, captchaValue) ) {
serverForm.logInputError("captchaValue",
"The characters you typed for the captcha must match the image ones.",
"captchaValue")
ctx.vars.captchaValid = false
}
else
ctx.vars.captchaValid = true
Zeile 6: Sie können eine beliebige Fehlermeldung eingeben.
Google recaptcha
Weitere Informationen finden Sie in der offiziellen Dokumentation.
ctx.vars.captchaValid = false
var gReCaptchaResponse = request.getParameter("g-recaptcha-response");
// Call reCaptcha API to validate it
var req = new HttpClientRequest("https://www.google.com/recaptcha/api/siteverify")
req.method = "POST"
req.header["Content-Type"] = "application/x-www-form-urlencoded"
req.body = "secret=YOUR_SECRET_HERE&response=" + encodeURIComponent(gReCaptchaResponse)
req.execute()
var response = req.response
if( response.code == 200 ) {
captchaRes = JSON.parse(response.body.toString(response.codePage));
ctx.vars.captchaValid = captchaRes.success
}
if( ctx.vars.captchaValid == false ) {
serverForm.logInputError("reCaptcha",
"Please validate the captcha",
"reCaptcha")
logInfo("reCaptcha not validated")
}
Um JSON.parse zu verwenden, müssen Sie "shared/json2.js" in Ihre Webapp integrieren:
Seit Build 8797 müssen Sie zur Verwendung der Verifizierungs-API-URL sie der Zulassungsliste in der Datei serverConf hinzufügen, indem Sie sie im Knoten urlPermission hinzufügen:
<url dnsSuffix="www.google.com" urlRegEx="https://www.google.com/recaptcha/api/siteverify"/>