sno*_*gel 15 security xss ruby-on-rails
我正在使用Brakeman识别安全问题.它标记了params.merge用作跨站点脚本漏洞的任何链接.我该如何清理以下内容?
- @archives.each do |archive|
= link_to "FTP", params.merge(:action => :ftp, :archive => archive, :recipient => "company")
dee*_*our 17
您应该仅基于params您期望的元素创建新哈希,并希望允许它们成为FTP链接的一部分,并使用它来合并您的其他参数.
你所拥有的东西允许我FTP通过修改查询字符串来添加我想要的任何内容,从而打开安全漏洞的大门.通过建立使用的散列地方params在params.merge(...你有效的白名单预计查询字符串组件在模板中使用你的渲染.
作为一个GET例子,如果你希望像一个网址
/some/path?opt1=val1&opt2=val2
你可能做的控制器动作
@cleaned_params = { opt1: params[:opt1], opt2: params[:opt2] }
@cleaned_params.merge! action: :ftp, archive: archive, recipient: :company
然后将@cleaned_params传递给 link_to
= link_to "FTP", @cleaned_params
这种方式,如果我手动输入像这样的URL
/some/path?opt1=val1&opt2=val2&maliciousopt=somexss
将params[:maliciousopt]永远不会让它到您FTP link_to在您的视图.
相同的行为适用于POST请求,只是恶意我可能会在提交之前向表单添加几个字段
<input type="hidden" name="maliciousopt" value="somexss" />
| 归档时间: |
|
| 查看次数: |
4372 次 |
| 最近记录: |