Question

У меня есть система комментирования, где люди могут оставлять комментарии вместе со своим сайтом. Поскольку по умолчанию рельсы теперь избегают всего, я действительно ничего не делаю, чтобы избежать XSS, и это работает - почти. По какой-то причине URL не экранирован.

Для отображения имени пользователя у меня есть простой помощник:

def display_name(name, site)
  if !site.blank?
    return link_to(name, site)
  else
    return name
  end
end

Но если вы поместите что-то вроде javascript: alert (1) в поле сайта, оно будет вставлено прямо в страницу - есть идеи, как избежать этого?

Douglas F Shearer · Answer 1 · 28 июня 2011

Даже если вы отключите JavaScript, вредоносные пользователи могут создавать URL-адреса, которые, например, указывают на удаление URL-адресов, которые могут потенциально повлиять на данные пользователя. Почему бы не проверить URL как таковой, когда вы собираете его?

validates :attribute, :url => true

Я бы порекомендовал использовать UrlValidator Thong Kuah .

Escape URL в рельсах

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Escape URL в рельсах

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

1 Ответ

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Похожие темы