0
как избежать перекрестного скриптинг в «рубин на рельсах»Rails - как избежать Межсайтовый скриптинг
я использовал код ниже
и я хочу знать, как и где делать мы проверьте, работает ли этот скрипт или нет.
A
ответ
2
Вам следует избегать чего-либо в ваших представлениях, которые могут быть изменены третьей стороной, например атрибутами и параметрами.
Учитывая ваш пример, я создал пользователя с именем <script type="text/javascript">alert("XSS")</script>. Предполагая, что вы только подтверждаете наличие имени, это будет действительным.
<!-- Raw output -->
<a href="#"><script type="text/javascript">alert("XSS")</script></a>
Клиент, просматривающий эту страницу с включенным JavaScript, будет видеть стандартное предупреждение. Это демонстрирует, что я могу добавить JavaScript для своего просмотра.
<!-- Escaped output -->
<a href="#"><script type="text/javascript">alert("XSS")</script></a>
Клиент, просматривающий эту страницу с включенной поддержкой JavaScript, не будет видеть стандартное предупреждение.
Это метод, который вы можете использовать для проверки того, уязвимо ли представление к атаке сценариев межсайтового сайта.
Альтернативный вариант - рассмотреть возможность использования HAML. HAML может быть сконфигурирован так, чтобы всегда выводить вывод, если вы явно не попросите его быть сырым. Я убежден, что это будет поведение по умолчанию в Rails 3 с использованием ERb.
+0
Все встроенные функции в Rails (например, link_to) уже выходят из вывода по умолчанию. Это также будет сделано по умолчанию для erb в Rails 3. – askegg
+0
Параметр 'name' по умолчанию не экранирован. Доступны только параметры, которые оцениваются с помощью 'url_for'. –
+0
Да - я должен был сделать это ясно :( – askegg
0
Если вы хотите добавить auto-escape в Rails 2.x, ознакомьтесь с руководством пользователя Michael Koziarski's rails_xss. Именно то, что вы ищете :)
Смежные вопросы
- 1. межсайтовый скриптинг
- 2. Межсайтовый скриптинг?
- 3. Что такое межсайтовый скриптинг
- 4. Межсайтовый скриптинг с изображением
- 5. Почему я получаю межсайтовый скриптинг с Rails?
- 6. Межсайтовый скриптинг (XSS)
- 7. Межсайтовый скриптинг для инъекций
- 8. межсайтовый скриптинг в JavaScript
- 9. Межсайтовый скриптинг и ASP.NET
- 10. htmltextwriter и межсайтовый скриптинг
- 11. Межсайтовый скриптинг: как проверить строку
- 12. Межсайтовый скриптинг (отраженный) java-script
- 13. JQuery Межсайтовый скриптинг - Что это
- 14. Iframe resize и межсайтовый скриптинг
- 15. как предотвратить межсайтовый скриптинг в форме InfoPath
- 16. Как предотвратить межсайтовый скриптинг с использованием javascript
- 17. Как исправить межсайтовый скриптинг для атрибутов запроса?
- 18. Внешние ссылки - Как предотвратить межсайтовый скриптинг
- 19. Каким образом букмекеры diigolet обходят межсайтовый скриптинг?
- 20. Yahoo HTML5 Context Parser - межсайтовый скриптинг (XSS)
- 21. Это межсайтовый скриптинг: DOM в dhtmlHistory.js
- 22. Код статуса HTTP 0, возможно, межсайтовый скриптинг?
- 23. AJAX межсайтовый скриптинг между собственными доменами
- 24. нг-связывать-HTML не мешает Межсайтовый скриптинг
- 25. MySQL, как правильно обрабатывать строки, содержащие код/межсайтовый скриптинг?
- 26. Как предотвратить межсайтовый скриптинг XSS с использованием MVC 3
- 27. Межсайтовый скриптинг в классический ASP при написании Javascript
- 28. Межсайтовый скриптинг - действие формы ASP.NET изменяется по URL-адресу
- 29. XMLHttpRequest межсайтовый скриптинг на одном сервере, но другой порт
- 30. Межсайтовый скриптинг и веб-параметр Предотвращение несанкционированного доступа в Playframework
Что вы подразумеваете под "check this script"? Использовать тесты? Запустить сервер и загрузить страницу в браузере? Кроме того, последняя версия Rails (и ранее) поддерживает такой код, как «<% = link_to @ user.name, @user%>». – askegg
, если вы назначаете как имя пользователя, а затем выводите результат #{@user.name} в отличие от # {h (@user .name)} вы увидите, что метод h() фактически выполняет html-экранирование. – Maulin