2
我閱讀並測試了simple_format允許使用某些html標籤。Rails中的simple_format helper足以防止xss?
是否足夠安全以保護xss? (假設我不介意用戶將把HTML,使他們的文字漂亮)這可能導致xss?或者我應該保持與h方法?
A
回答
1
看來現在已經解決了rails 4.0.0和4.0.1中的漏洞,所以它應該是安全的。這裏有一個問題的鏈接:https://groups.google.com/forum/#!topic/ruby-security-ann/5ZI1-H5OoIM
相關問題
- 1. 瀏覽器的X-XSS-Protection/XSS Auditor是否足以防止XSS?
- 2. 清理URL以防止Rails中的XSS
- 3. htmlspecalchars中的html值屬性是否足以防止xss?
- 4. 轉義<足以防範XSS攻擊
- 5. PHP防止xss
- 6. 防止DOM XSS
- 7. Struts XSS預防 - 防止GET XSS
- 8. 防止Spring MVC中的XSS
- 9. 防止ajax rsargs中的XSS []
- 10. jquery ajax防止xss
- 11. 防止XSS攻擊
- 12. 用strip_tags()防止XSS?
- 13. 用PHP防止XSS
- 14. 防止XSS漏洞
- 15. 防止XSS攻擊
- 16. 自動轉義,以防止XSS
- 17. XSS:REQUEST_URI運行htmlspecialchars() - 然後用&替換&足以防止XSS注入?
- 18. CakePHP的:防止XSS攻擊
- 19. 存儲生成的HTML並防止Rails 3中的XSS攻擊
- 20. 爲何XSS預防不足ValidateRequest =「true」?
- 21. 防止Javascript和XSS攻擊
- 22. Json.Net Wrapper防止Xss攻擊
- 23. angularjs防止XSS攻擊
- 24. 防止陣列從XSS
- 25. 防止xss攻擊/注入
- 26. Ruby on Rails和XSS預防
- 27. HTML-Entity轉義防止XSS
- 28. PHP防止SQL注入/ XSS
- 29. 如何防止CSS中的XSS?
- 30. 防止C#中的XSS Winform WebBrowser
你不能同時使用'h'方法*和*使用'simple_format'。它們是互斥的。 – meagar
我想消毒以保持xss不在,但我想也允許某些標籤(特別是保持行斷開用戶輸入)。 –
然後使用'simple_format'。正如文件所述,它試圖消除其輸入。 – meagar