1
我在使用Rails的骨幹呈現內容。我從模型中獲得的一些json屬性將是html屬性,其中一些可能在javascript內部使用,另一些將在html元素之間插入。所有這些需要不同的逃避機制,人們如何處理這個問題?XSS在Rails的JSON
A
回答
1
在我們的項目中,我們使用的是doT templates(其中大多數其他)允許使用編碼插值({{! ... }})。你也可以嘗試編碼所有數據並去掉任何可能的javascripts服務器端數據保存時100%確定你不會得到任何惡意的東西
另外,如果你使用的是jquery方法,記得用text方法來插入數據而不是html,因爲文本會自動對其進行編碼。
我真的推薦的點!這是超級快,我們已經成功地使其發揮真的很好用requirejs
相關問題
- 1. 從XSS在escape_javascript()輸出中的Rails
- 2. Ruby on Rails和XSS預防
- 3. PHP,Javascript JSON,XSS保護
- 4. JSON在Rails的
- 5. Rails中的simple_format helper足以防止xss?
- 6. 清理URL以防止Rails中的XSS
- 7. 潛在的jQuery XSS
- 8. Rails 3 XSS逃逸中斷插件
- 9. 禁用XSS和HTML清理用Rails 3
- 10. 如何爲XSS編碼JSON/Ajax響應?
- 11. XSS向用戶顯示json時
- 12. 在URL中編碼JSON時是否存在任何XSS威脅?
- 13. 瀏覽器的X-XSS-Protection/XSS Auditor是否足以防止XSS?
- 14. 包括在Rails的API/JSON
- 15. 在rails,json格式的caches_page
- 16. 的Rails + Mongoid - 不要在JSON
- 17. 在Rails中嵌套的JSON
- 18. Rails的,包括在JSON
- 19. JSON表現在Rails的
- 20. XSS漏洞在JavaScript
- 21. XSS在wordpress中的攻擊?
- 22. XSS在Kohana的潔淨3.1
- 23. Rails的JSON到Swift 2 JSON
- 24. 在反序列化之前清理JSON for XSS
- 25. 在JSON中傳遞JS函數有哪些XSS危險?
- 26. jsbin.com上的XSS
- 27. 存儲生成的HTML並防止Rails 3中的XSS攻擊
- 28. 將您的網站的功能嵌入Rails 3(XSS vs iframes)
- 29. Rails的:作爲JSON
- 30. Rails的escape_javascript對JSON
我使用EJS + JST與骨幹。文本是否在每個上下文中正確轉義? – CamelCamelCamel
EJS ===最慢的JS模板以往 - 我們已經從切換(和JMVC)至(骨幹+)點 - 速度差異是巨大的(檢查http://jsperf.com/dom-vs-innerhtml-based-templating/73)!現在沒有任何問題 - 儘管我想你可以使用相同的模板來使用服務器端和客戶端渲染 - 我們的項目中只有客戶端渲染。 –
謝謝。我其實很討厭這個ejs.jst,希望只使用_.template。我正在讀關於doT。有關與骨幹網融合的任何信息? – CamelCamelCamel