ruby-on-rails – params.merge和跨站点脚本
发布时间:2020-12-16 19:39:42 所属栏目:百科 来源:网络整理
导读:我正在使用 Brakeman来识别安全问题.它标记了使用params.merge作为跨站点脚本漏洞的任何链接.如何消毒如下的东西? - @archives.each do |archive| = link_to "FTP",params.merge(:action = :ftp,:archive = archive,:recipient = "company") 解决方法 您应
|
我正在使用
Brakeman来识别安全问题.它标记了使用params.merge作为跨站点脚本漏洞的任何链接.如何消毒如下的东西?
- @archives.each do |archive|
= link_to "FTP",params.merge(:action => :ftp,:archive => archive,:recipient => "company")
解决方法
您应该仅基于您期望的参数元素创建新的哈希值,并希望允许它们作为FTP链接的一部分,并使用它来合并其他参数.
您允许我通过修改查询字符串来添加任何我想要的FTP链接,打开安全漏洞的大门.通过构建用于代替params.merge中的参数的哈希(…您实际上将预期的querystring组件列入白名单,以便在您要渲染的模板中使用. 作为一个GET示例,如果您期望一个URL /some/path?opt1=val1&opt2=val2 你可能会做出控制器的操作 @cleaned_params = { opt1: params[:opt1],opt2: params[:opt2] }
@cleaned_params.merge! action: :ftp,archive: archive,recipient: :company
然后将@cleaned_pa??rams传递给link_to = link_to "FTP",@cleaned_params 这样我手动输入一个URL /some/path?opt1=val1&opt2=val2&maliciousopt=somexss params [:maliciousopt]将永远不会在您的视图中进入您的FTP link_to. 同样的行为适用于POST请求,只是恶意的,我可能会在提交表单之前添加几个字段 <input type="hidden" name="maliciousopt" value="somexss" /> (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |