Tom*_*man 14 xss ruby-on-rails sanitize
我可以对用户输入的文本使用ActionView :: Helpers :: SanitizeHelper #sanitize吗?我计划向其他用户显示这些文本?例如,它会妥善处理本网站上描述的所有案例吗?
此外,文档提到:
请注意,对用户提供的文本进行清理并不能保证生成的标记有效(符合文档类型)或格式正确.输出可能仍包含未转义的'<','>','&'字符和混淆浏览器.
处理这个问题的最佳方法是什么?Hpricot在显示之前通过已消毒的文本?
Tur*_*adg 16
Ryan Grove的Sanitize比Rails 3走得更远sanitize.它确保输出HTML格式正确,并具有三个内置白名单:
Sanitize :: Config :: RESTRICTED 只允许非常简单的内联格式化标记.没有链接,图像或块元素.
Sanitize :: Config :: BASIC 允许各种标记,包括格式化标记,链接和列表.不允许使用图像和表格,链接仅限于FTP,HTTP,HTTPS和mailto协议,并且所有链接都添加了一个属性以减轻SEO垃圾邮件.
Sanitize :: Config :: RELAXED允许比BASIC更多种标记,包括图像和表格.链接仍限于FTP,HTTP,HTTPS和mailto协议,而图像仅限于HTTP和HTTPS.在此模式下,不会添加到链接.
Jai*_*yer 11
Sanitize当然比"h"帮手更好.它实际上允许您指定的html标记,而不是转义所有内容.是的,它确实阻止了跨站点脚本,因为它完全从混合中删除了javascript.
简而言之,两者都将完成工作.如果您不想要明文以外的任何其他内容,请使用"h",当您想要允许某些内容时使用清理,或者您认为人们可能会尝试输入它.即使你不允许所有使用sanitize的标签,它也会"删除"代码,而不是像"h"那样转义代码.
至于不完整的标签:您可以在通过hpricot传递包含html的字段的模型上运行验证,但我认为这在大多数应用程序中都是过度的.
最佳行动方案取决于两件事:
作为一般规则,我不允许我的用户输入 html - 相反,我让他们输入纺织品。
在 Rails 3.x 上:
默认情况下会对用户输入进行清理。您不必执行任何操作,除非您希望用户能够发送一些 html。在这种情况下,请继续阅读。
此railscast处理rails 3 上的XSS 攻击。
在 Rails 2.x 上:
如果您不允许用户使用任何 html,只需使用该h方法保护您的输出,如下所示:
<%= h post.text %>
如果您希望用户发送一些 html:您可以使用 Rails 的sanitize方法或HTML::StathamSanitizer