Как предотвратить атаку межсайтового скриптинга при использовании автозаполнения jQueryUI

Question

Я проверяю уязвимости XSS в разрабатываемом веб-приложении. Это приложение Rails использует метод h для очистки сгенерированного HTML.

Однако он использует виджет автозаполнения jQueryUI (впервые в последней версии), где у меня нет контроля над сгенерированным HTML, и я вижу, что теги там не экранируются. Данные, подаваемые на автозаполнение, извлекаются через JSON-запрос непосредственно перед отображением. Я

Возможности:

1) У автозаполнения есть опция очистки, о которой я не знаю

2) Есть простой способ сделать это в jQuery, о котором я не знаю

3) Существует простой способ сделать это в контроллере Rails, о котором я не знаю (где я не могу использовать метод h)

4) Disallow <символ в модели </p>

Sugestions

Answer 1

Контролируете ли вы JSON, который подается на плагин? Если это так, лучше всего было бы правильно экранировать данные до их кодирования в JSON, используя CGI::escapeHTML.

Таким образом, ваши данные будут очищены, и вам не придется беспокоиться о XSS.