6
在Rails應用程序中,用戶可以創建事件併發布URL以鏈接到外部事件站點。清理URL以防止Rails中的XSS
如何清理URL以防止XSS鏈接?
由於提前,XSS的
爲例,這是不是軌的sanitize方法
@url = "javascript:alert('XSS')"
<a href="<%=sanitize @url%>">test link</a>
A
回答
1
5
嘗試消毒一次href是已經在類似這樣的標記:
url = "javascript:alert('XSS')"
sanitize link_to('xss link', url)
這給了我:
<a>xss link</a>
-2
此漏洞已修復了自3.2.13,3.1.12,2.3。 18。
以下鏈接還提供了可用於早期版本的修補程序。
https://groups.google.com/forum/#!msg/rubyonrails-security/zAAU7vGTPvI/1vZDWXqBuXgJ
1
sanitize可在HTML字符串,而不是URL。意思是說,你不能淨化一個URL本身,但是你可以淨化一段與惡意網址有關聯的html。例如
<%= sanitize "<a href='#{@url}'>Things</a>" %>
這將清除所有已知的惡意屬性
相關問題
- 1. Rails中的simple_format helper足以防止xss?
- 2. 如何清理Java中的HTML代碼以防止XSS攻擊?
- 3. 在javascript中防止xss攻擊url
- 4. PHP防止xss
- 5. 防止DOM XSS
- 6. 瀏覽器的X-XSS-Protection/XSS Auditor是否足以防止XSS?
- 7. Struts XSS預防 - 防止GET XSS
- 8. 防止Spring MVC中的XSS
- 9. 防止ajax rsargs中的XSS []
- 10. 防止通過URL(PHP)XSS攻擊
- 11. Django如何清理文本輸入以防止SQL注入,XSS等?
- 12. 防止XSS攻擊
- 13. 防止XSS漏洞
- 14. 用strip_tags()防止XSS?
- 15. 防止XSS攻擊
- 16. 用PHP防止XSS
- 17. jquery ajax防止xss
- 18. 禁用XSS和HTML清理用Rails 3
- 19. 用JavaScript編碼防止/理解xss
- 20. 我應該使用URL重寫,以防止XSS
- 21. CakePHP的:防止XSS攻擊
- 22. 自動轉義,以防止XSS
- 23. 存儲生成的HTML並防止Rails 3中的XSS攻擊
- 24. 防止PHP中的URL編碼XSS攻擊
- 25. Ruby on Rails和XSS預防
- 26. 防止xss攻擊/注入
- 27. 防止Javascript和XSS攻擊
- 28. Json.Net Wrapper防止Xss攻擊
- 29. PHP防止SQL注入/ XSS
- 30. HTML-Entity轉義防止XSS
@url =的鏈接 「的javascript:警報( 'XSS')」 xss link不起作用。我應該反映我的問題,我已經測試了導軌的消毒方法。 – rickypai 2012-03-10 05:47:04
如果您需要比內置Rails清理所提供的更多控制權,rgrove的清理寶石真的很不錯。無論哪種方式,就像Ben的回答指出的那樣,您需要清理整個鏈接的html,而不僅僅是URL本身。 – antinome 2013-11-06 16:40:22