清理 URL 以防止 Rails 中的 XSS [英] Sanitizing URL to prevent XSS in Rails
本文介绍了清理 URL 以防止 Rails 中的 XSS的处理方法,对大家解决问题具有一定的参考价值,需要的朋友们下面随着小编来一起学习吧!
问题描述
在 rails 应用程序中,用户可以创建事件并发布一个链接到外部事件站点的 URL.
In an rails application, users can create events and post an url to link to the external event site.
如何清理网址以防止 XSS 链接?
How do I sanitize the urls to prevent XSS links?
提前致谢,
Rails 的 sanitize 方法无法阻止的 XSS 示例
example of XSS, which is not preventable by rails' sanitize method
@url = "javascript:alert('XSS')"
<a href="<%=sanitize @url%>">test link</a>
推荐答案
一旦 href 已经在如下标签中,请尝试清理:
Try sanitizing once the href is already in a tag like:
url = "javascript:alert('XSS')"
sanitize link_to('xss link', url)
这给了我:
<a>xss link</a>
这篇关于清理 URL 以防止 Rails 中的 XSS的文章就介绍到这了,希望我们推荐的答案对大家有所帮助,也希望大家多多支持IT屋!
查看全文