rcd*_*rcd 8 hash json jruby sanitize sinatra
在一个类似的Rails应用程序中,我能够创建一个递归的哈希检查函数,然后运行Sanitize gem的clean/fragment方法从传入的params哈希中删除任何HTML元素.我在application_controller中使用了一个前置过滤器,所以一切都在应用程序范围内被清除(这是一个很棒的应用程序).
背景故事:XSS攻击是可能的,特别是在IE浏览器中,但实际上我们不希望任何这些东西被保存到数据库中.虽然最终目标是JSON输出不包含它.
我试图在Sinatra应用程序(它有一些ActiveSupport和JRuby ActiveRecord捆绑在一起)中做同样的事情,但是Sanitize gem不会捆绑,因为这个特定的应用程序在JRuby中运行由于某些数据库原因.Sanitize需要Nokogiri,而Nokogiri又需要Nokogumbo,后者不会在这个JRuby环境中构建.
因此我尝试使用Rack :: Util内置的html转义方法在app.rb中进行前置过滤,但这会炸毁应用程序.
有没有其他方法可以考虑
1)将所有传入的参数消毒到(JRuby)Sinatra应用程序中
如果没有,一个较小的选择:
2)使所有被解析的JSON清理所述JSON属性值列表中的值?
PS - 这里的部分问题是,一个包含的本地gem,它处理了许多params并进行JSON渲染,证明无法调试.我将在主机应用程序和本地链接的宝石中包含Pry,当我尝试撬入宝石时,我无法查看params散列(它只显示为空) - 似乎是一个问题范围.
Sanitize gem 不会捆绑,因为这个特定的应用程序由于某些数据库原因在 JRuby 中运行。Sanitize 需要 Nokogiri,而 Nokogiri 又需要 Nokogumbo,而后者无法在这个 JRuby 环境中构建。
似乎是错误的,因为 Nokogiri 在 JRuby 中工作(有一个 -java 特定的 gem),尝试一下,bundle update nokogiri这样你就可以很好地发挥 Sanitize ...
因此,我尝试使用 Rack::Util 内置的 html 转义方法在 app.rb 中执行 before 过滤器,但这会导致应用程序崩溃。
再次,太糟糕了。也许可以发布有关您的 gem 版本和遇到的故障的详细信息。尽管我相信,首选的选择是在 JRuby 下使用 MRI 下工作的东西 - 因此我会再次尝试使用 Nokogiri。
| 归档时间: |
|
| 查看次数: |
1254 次 |
| 最近记录: |