And*_*vey 5 ruby-on-rails brakeman
我刚刚开始使用brakeman gem来探索我的rails应用程序的安全漏洞.
除了几个跨站点脚本警告之外,我设法让一切都变得整洁.
这些都有以下共同点:
例如
<%= link_to "Click" , :class=> @model.association.attribute, :alt=> @model.association.attribute, :title=> @model.association.attribute, @model.association %>
哪里
@model = @commentable = Model.includes(:association1, association2: {:nested-association1, :nested-association2}).find(params[:id])
这是我需要关注/采取行动吗?我认为Rails 3.2默认会逃脱这些.
我欢迎建议,以帮助我更好地理解这个问题,并确定我应采取的步骤,如果有的话.
我无法从您提供的代码中重现任何警告。您使用的是哪个版本的 Brakeman?实际的警告是什么(根据需要进行了编辑)?
我怀疑您收到警告是因为在链接的 href 值中检测到用户输入。请参阅此拉取请求,了解有关为什么这可能很危险的更多信息。
不幸的是,如果没有更多信息,我无法判断这是需要修复的误报还是合法的警告。
编辑:
好的,现在我在测试时看到警告@model = @commentable = ...这是 Brakeman 处理分配方式的问题。
如果您链接到模型的实例,则不应出现警告。如果您链接到模型属性,则这将被视为用户输入。
是的,Rails 会转义 HTML,但它不处理以javascript:或data:开头的可用于 XSS 的链接。
| 归档时间: |
|
| 查看次数: |
1879 次 |
| 最近记录: |