那些遇到过的问题

清理URL以防止Rails中的XSS

ric*_*pai 7 ruby xss ruby-on-rails

在rails应用程序中,用户可以创建事件并发布URL以链接到外部事件站点.

如何清理网址以防止XSS链接?

提前致谢,

XSS的一个例子,这是rails的sanitize方法无法阻止的

@url = "javascript:alert('XSS')"
<a href="<%=sanitize @url%>">test link</a>
Run Code Online (Sandbox Code Playgroud)

Ben*_*Ben 5

一旦href已经在标签中,请尝试清理:

url = "javascript:alert('XSS')"
sanitize link_to('xss link', url)
Run Code Online (Sandbox Code Playgroud)

这给了我:

<a>xss link</a>
Run Code Online (Sandbox Code Playgroud)

小智 3

您可以使用 Rails 的sanitize方法来进行一些基本限制。

或者您可以使用 rgrove 的sanitize gem 获得更多选项。

希望这可以帮助。

归档时间:

查看次数:

5299 次

最近记录:

12 年,6 月 前
相关归档
Ruby中$ 1和\ 1 49
Ruby'require'语句是在类定义的内部还是外部? 44
如何在Ruby中搜索数组? 42
哈希或其他对象的内存大小? 30
在80端口运行Sinatra 16
使用ruby mechanize检测重定向 14
使用RSpec和Ruby on Rails的国际字符 12
使用与Devise on Rails分开的身份验证模型 11
如何做rails db:在rails上同时迁移多个非主从关系的分片? 11
托管第三方Javascripts有哪些风险? 9
难疑归档
如何检查字符串是否包含JavaScript中的子字符串? 7430
如何在Linux上找到包含特定文本的所有文件? 4914
如何在单个表达式中合并两个词典? 4349
如何退出Vim编辑器? 3558
如何比较两个不同分支的文件? 1430
如何查看Git提交中的更改? 1364
Android中的gravity和layout_gravity有什么区别? 1286
退出申请不赞成? 1131
使用node.js作为简单的Web服务器 1068
返回IEnumerable <T>与IQueryable <T> 1051