Решить проблему XSS на ruby на рельсах

Question

Решить проблему XSS на ruby на рельсах

Пример: если мы храним <script>alert(299792458)</script> в качестве ввода имени принимается и сохраняется значение.

Когда мы отображаем данные, появляется предупреждение. Я понимаю, что это межсайтовый скриптинг (XSS). Я прошел http://guides.rubyonrails.org/security.html, но я не смог понять.

Все, что мне нужно сделать, это убедиться, что предупреждение не произойдет. Итак, какой вариант самый лучший. Санируйте имя при сохранении (или) используйте html_safe при его отображении.

1

ruby xss sanitize javascript-injection html-safe

Источник

user5326191 19 июн '18 в 17:47

1 ответ

Другие вопросы по тегам ruby xss sanitize javascript-injection html-safe

user5326191 20 июн '18 в 14:41 2018-06-20 14:41 · Answer 1 · 2018-06-20 14:41

Я использовал эту функцию, и она работала, как и ожидалось.

CGI::escapeHTML(user.firstname)

На странице дисплея это показывало <script>alert("123");</script> но скрипт не запустился, потому что он избежал тегов.

1

Источник

user5326191 20 июн '18 в 14:41

Решить проблему XSS на ruby ​​на рельсах

1 ответ

Решить проблему XSS на ruby на рельсах