清理 URL 以防止 Rails 中的 XSS [英] Sanitizing URL to prevent XSS in Rails

查看：30 发布时间：2021/10/4 18:46:55 ruby-on-rails ruby xss

本文介绍了清理 URL 以防止 Rails 中的 XSS的处理方法，对大家解决问题具有一定的参考价值，需要的朋友们下面随着小编来一起学习吧！

在 rails 应用程序中，用户可以创建事件并发布一个链接到外部事件站点的 URL.

In an rails application, users can create events and post an url to link to the external event site.

如何清理网址以防止 XSS 链接?

How do I sanitize the urls to prevent XSS links?

提前致谢，

Rails 的 sanitize 方法无法阻止的 XSS 示例

example of XSS, which is not preventable by rails' sanitize method

@url = "javascript:alert('XSS')"
<a href="<%=sanitize @url%>">test link</a>

一旦 href 已经在如下标签中，请尝试清理:

Try sanitizing once the href is already in a tag like:

url = "javascript:alert('XSS')"
sanitize link_to('xss link', url)

这给了我:

<a>xss link</a>

这篇关于清理 URL 以防止 Rails 中的 XSS的文章就介绍到这了，希望我们推荐的答案对大家有所帮助，也希望大家多多支持IT屋！

查看全文