RJS утечка уязвимости в нескольких приложениях Rails

Question

RJS утечка уязвимости в нескольких приложениях Rails

Я встретил следующий пост в блоге об утечке RJS в нескольких приложениях Rails. Книга Майка Хартла использует RJS.

Опасно ли использовать RJS. Проблема в том, что в блоге, на который я ссылался, мало деталей, и я его не понимаю. Может ли кто-нибудь подробно объяснить, в чем проблема?

0

ruby-on-rails railstutorial.org rjs

Источник

user782220 01 дек '13 в 00:50

1 ответ

Другие вопросы по тегам ruby-on-rails railstutorial.org rjs

user193980 01 дек '13 в 05:04 2013-12-01 05:04 · Answer 1 · 2013-12-01 05:04

Записи в блоге об уязвимостях безопасности должны идти между гранями, рассказывающими инсайдерам достаточно, чтобы исправить (или эксплуатировать) проблему, и в то же время не рассказывать скриптовым детишкам достаточно, чтобы они перешли к хакеру.

В посте рассказывается о файлах js.erb, которые автоматически расширяют свою форму authentication_tokens, и о действиях, которые автоматически сбрасывают все ваши данные в JS при попадании в HTTP с Accepts=text/javascript. Rails начального уровня не должны делать ни одной из этих вещей, поэтому, если постер обострил проблему для людей, использующих Rails, и если они не нажали кнопку паники, вам, вероятно, не нужно беспокоиться об этом.