この文章は Salesforce 機械翻訳システムを使用して翻訳されました。詳細はこちらをご参照ください。
英語に切り替える

Connect REST API 開発者ガイド

Connect REST API 開発者ガイド
概要
Connect REST API を使用するケース
Connect REST API アーキテクチャ
Connect REST API の制限
リソース URL の作成
HTTP 要求の送信
HTTP 要求フローおよびレスポンスボディ
入力およびバイナリファイルのアップロードの例
ワイルドカード
応答サイズの指定
レスポンスボディの符号化
状況コードとエラー応答
OAuth および Connect REST API
Web ブラウザーからのクロスオリジン要求の実行
Connect REST API リリースノート
API の有効期限のポリシー
クイックスタート
機能の操作
リソース
Chatter のリソース
リクエストボディ
レスポンスボディ
付録
PDF

レスポンスボディの符号化

応答は、デフォルトでは最小限に符号化された HTML エンティティになります。

次の文字は、すべての文字列でエスケープされます。

文字 エスケープ文字
< &lt;
> &gt;
" &quot;
' &#39;
\ &#92;
& &amp;

応答ペイロードに含まれる URL 値には特殊な符号化が行われます。URL の主部分は、RFC2396 に従って URL 符号化され、クエリ文字列は HTML 形式で符号化されます。この符号化は無効にできません。

ユーザーが送信したコンテンツは、入力時に絞り込みされず、サードパーティのモバイルアプリケーションや Web アプリケーションなど、多くの供給元から送られてくる場合があります。アプリケーションで出力を使用するコンテキストに対して API 出力を処理します。出力の処理に失敗すると、アプリケーションとユーザーがクロスサイトスクリプト (XSS) 攻撃やその他の問題にさらされます。これらの問題は、結果的にデータ損失、アプリケーション障害、組織情報の漏洩につながる可能性があります。

警告

API 出力は、多くのコンテキストで使用できます。デフォルトのエンティティ符号化がすべてのコンテキストに適していると想定しないでください。API 出力を HTML 属性値内、URL 内、JavaScript 内、<script> タグ内、CSS 内で使用する場合は、それぞれ異なる符号化が必要になります。さまざまなコンテキストでの API 出力の処理用法についての詳���は、「オープン Web アプリケーションセキュリティプロジェクト」を参照してください。

クライアントは、未加工 (符号化されていない) の出力を要求できます。要求の X-Chatter-Entity-Encoding HTTP ヘッダーを false に設定します。