0
我有一個Rails 3.2.21應用程序。我的一個用戶有一個斜線地址(想想大街321 1/2)。目前,我們會過濾掉斜槓,這會導致系統中此用戶的地址無效。如何在不禁用此特定地址的驗證或允許全球範圍內的斜槓(具有巨大的安全風險)的情況下如何允許此地址通過?有沒有一種方法可以對斜線進行編碼,將其放入數據庫並在檢索時將其編碼回斜線?Rails安全性:允許斜槓作爲用戶輸入
謝謝!
A
回答
1
只是允許斜線開闢了可能性增大爲XSS
不是真的。在可能意外將內容注入XSS潛力(HTML,JavaScript字符串文字)的地方,斜槓不是特殊字符。輸入驗證在任何情況下都不是解決注入問題的正確場所。
斜槓可能影響的漏洞類型是filepath注入(通常會導致通過目錄遍歷進行不需要的文件訪問)。但仍然需要擔心的地方就是創建文件路徑。
有沒有一種方法可以對斜線進行編碼,將其放入數據庫並在檢索時將其編碼回斜線?
數據庫不需要被斜線保護。如果你這樣做了,那麼就是代碼中存在的任何XSS或文件路徑問題,這些問題不在數據庫中 - 你仍然會像以前一樣脆弱。
相關問題
- 1. Rails Sanitize:安全+允許嵌入
- 2. AS3 - 在輸入文本中允許正向斜槓?
- 3. 允許引用斜槓的JSON庫嗎?
- 4. xsi:不允許使用schemaLocation反斜槓?
- 5. 輸入驗證安全性 - 不允許使用http://或https://
- 6. 需要安全性建議允許用戶寫入CSS文件
- 7. 如何允許URL中的正斜槓?
- 8. 允許反斜槓的preg_match問題
- 9. htaccess RewriteEngine URI允許多個斜槓
- 10. 使用正斜槓作爲ID屬性
- 11. .htaccess允許擴展名,不允許擴展名,並允許尾隨斜槓
- 12. 閱讀輸入反斜槓
- 13. 輸入日期無斜槓
- 14. AngularJS:只允許數字作爲輸入
- 15. 安全的用戶輸入
- 16. HTML窗體 - 安全刪除斜槓
- 17. 允許用戶嵌入視頻的主要安全問題
- 18. ComboBox不允許用戶輸入
- 19. 如何允許用戶輸入java
- 20. 允許用戶選擇輸入
- 21. 允許用戶輸入變量(Python)
- 22. 允許用戶只輸入文本?
- 23. TFS 2012安全性 - 允許用戶編輯工作項目的狀態
- 24. 如何安全地允許SQL注入
- 25. 使用mod_rewrite允許有或沒有斜槓的友好URL
- 26. 正斜槓 '/' 作爲R
- 27. 使用用戶輸入作爲key_name安全嗎?
- 28. 設置目錄安全性以允許用戶和拒絕全部
- 29. QMAKE&窗戶:如何反斜槓轉換爲正斜槓
- 30. 使用powershell輸出斜槓
使用參數進行數據庫插入/更新,而不是手動構建字符串。對於我接觸過的大多數SQL實現來說,這是通過'@'來完成的,而'?'是用於位置的。 – Crisfole
看起來像是打電話給你的。地址中的斜線是有效的。但是你可以在你的驗證器中利用正則表達式將它限制在某些位置和限制之下。我很想知道存在哪些安全風險。一個XSS如何在地址中使用斜槓? –
只要允許斜線,就可以增加XSS的可能性(Rails對HTML編碼的所有內容都是非常好的編碼,但是有幾個已知的漏洞,特別是與JS結合時,我寧願儘可能使用白名單)。 –