Bir ray uygulamasında, kullanıcılar olayları oluşturabilir ve harici olay sitesine bağlanmak için bir URL gönderebilir.Rayların XSS'yi engellemek için URL'yi temizleme
URL'leri XSS bağlantılarını engellemek için nasıl temizlerim? peşin
sayesinde raylar sterilize yöntemiyle
@url = "javascript:alert('XSS')"
<a href="<%=sanitize @url%>">test link</a>
Sen Rails'in kullanabilirsiniz bazı temel sınırlamalar için sanitize yöntemi ile önlenebilir değildir XSS
örnek.
Veya daha fazla seçenek için rgrove'un sanitize taşını kullanabilirsiniz.
Bu yardımcı olur umarım.
url = "javascript:alert('XSS')"
sanitize link_to('xss link', url)
Bu bana verir: href kez sterilize
deneyin gibi bir etiket zaten
<a>xss link</a>
Bu güvenlik açığı beri 3.2.13, 3.1.12, 2.3 giderildi. 18.
Aşağıdaki bağlantı, önceki sürümlerde kullanabileceğiniz bir yama da sağlar. html dizeleri, değil URL'ler ile
https://groups.google.com/forum/#!msg/rubyonrails-security/zAAU7vGTPvI/1vZDWXqBuXgJ
sanitize çalışır. Yani bir URL’yi kendiniz dezenfekte edemezsiniz, ancak kötü niyetli bir URL’ye sahip bir bağlantıya sahip olan bir html parçasını sanitize edebilirsiniz. ": Alert ('XSS') javascript" xss link çalışmıyor =
@url tüm bilinen zararlı özelliklerin bağlantınız temizler
örneğin
için. Sorumluluklarımı rayların sanitize yöntemini zaten test ettiğimi yansıtmalıyım. – rickypairgrove'nin sanitize gem'i, eğer Rails sanitize'den daha fazla kontrole ihtiyacınız varsa gerçekten size müsaade eder. Her iki durumda da, Ben'in yanıtı gibi, sadece URL'nin kendisi değil, tüm bağlantı için html'i dezenfekte etmeniz gerekir. – antinome