Tag: xss

在Rails中转义HTML

为了防止Rails应用程序中存在XSS漏洞,推荐使用HTML的方法是什么? 是否允许用户将任何文本放入数据库但在显示时将其转义? 你应该添加before_savefilter来逃避输入吗?

Rails sanitize()方法有多好?

我可以对用户输入的文本使用ActionView :: Helpers :: SanitizeHelper #sanitize ,我打算向其他用户展示吗? 例如,它是否能正确处理本网站上描述的所有案例 ? 此外,文档提到: 请注意,清理用户提供的文本并不能保证生成的标记有效(符合文档类型)或格式正确。 输出可能仍包含未转义的”,’&’字符和混淆浏览器。 处理这个问题的最佳方法是什么? 在显示之前通过Hpricot传递已清理的文本?

params.merge和跨站点脚本

我正在使用Brakeman来识别安全问题。 它标记了使用params.merge作为跨站点脚本漏洞的任何链接。 我如何清理以下内容? – @archives.each do |archive| = link_to “FTP”, params.merge(:action => :ftp, :archive => archive, :recipient => “company”)

清理URL以防止Rails中的XSS

在rails应用程序中,用户可以创建事件并发布URL以链接到外部事件站点。 如何清理url以防止XSS链接? 提前致谢, XSS的一个例子,这是rails的sanitize方法无法阻止的 @url = “javascript:alert(‘XSS’)” <a href="https://stackoverflow.com/questions/9634868/sanitizing-url-to-prevent-xss-in-rails/”>test link

如何在sinatra应用程序中html_escape文本数据?

我有一个小的Sinatra应用程序,它从ERB模板为我生成html片段。 我如何html_escape输出? Sinatra中不存在帮助器。