FCKEditor с уязвимостью в Rails Security

Question

FCKEditor с уязвимостью в Rails Security

Я использую FCKEditor в своем приложении Ruby on Rails. Пользователи добавляют сообщения в блоге, используя FCKEditor.

Затем я отображаю сообщения в блоге, используя

@blog.body.html_safe

Я знаю, что FCKEditor экранирует любой код javascript, но что если пользователь отправит запрос с прямыми параметрами и установит тело сообщения в блоге, включая некоторые javascript. Это может быть уязвимость безопасности.

Любая идея, как я могу использовать FCKEditor с Rails безопасно?

0

ruby-on-rails ruby-on-rails-3 fckeditor html-safe

Источник

user833179 29 мар '12 в 13:41

1 ответ

Решение

Другие вопросы по тегам ruby-on-rails ruby-on-rails-3 fckeditor html-safe

user833179 01 апр '12 в 13:21 2012-04-01 13:21 · Accepted Answer · 2012-04-01 13:21

Мы можем использовать HTML-дезинфицирующее средство белого списка для экранирования всех тегов, кроме некоторых тегов форматирования.

Sanitize

0

Источник

user833179 01 апр '12 в 13:21