ruby-on-rails – params.merge和跨站点脚本

前端之家收集整理的这篇文章主要介绍了ruby-on-rails – params.merge和跨站点脚本前端之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在使用 Brakeman来识别安全问题.它标记了使用params.merge作为跨站点脚本漏洞的任何链接.如何消毒如下的东西?
- @archives.each do |archive|
    =  link_to "FTP",params.merge(:action => :ftp,:archive => archive,:recipient => "company")

解决方法

您应该仅基于您期望的参数元素创建新的哈希值,并希望允许它们作为FTP链接的一部分,并使用它来合并其他参数.

您允许我通过修改查询字符串来添加任何我想要的FTP链接,打开安全漏洞的大门.通过构建用于代替params.merge中的参数的哈希(…您实际上将预期的querystring组件列入白名单,以便在您要渲染的模板中使用.

作为一个GET示例,如果您期望一个URL

/some/path?opt1=val1&opt2=val2

你可能会做出控制器的操作

@cleaned_params = { opt1: params[:opt1],opt2: params[:opt2] }
@cleaned_params.merge! action: :ftp,archive: archive,recipient: :company

然后将@cleaned_pa​​rams传递给link_to

=  link_to "FTP",@cleaned_params

这样我手动输入一个URL

/some/path?opt1=val1&opt2=val2&malicIoUsopt=somexss

params [:malicIoUsopt]将永远不会在您的视图中进入您的FTP link_to.

同样的行为适用于POST请求,只是恶意的,我可能会在提交表单之前添加几个字段

<input type="hidden" name="malicIoUsopt" value="somexss" />

猜你在找的Ruby相关文章