レールで属性値をサニタイズする最良の方法は何ですか?レールで属性値をサニタイズする方法
<img alt="<%= h 'untrusted-data' %>" src="image-source-here" />
私はHTML共通に信頼されていないデータを挿入する前owasp.net XSS prevention cheat sheet.
html_escapeメソッドは目的には十分ですか?何らかの理由でTagHelperで提供されているtagメソッドを使用できません。 Rails 2.3.5バージョンを使用しています。
はい、十分です。 (別の「しかし私はそれはタイプミスだと思う:)
<img alt="<%=h untrusted %>" src="img.png" />
hで"が含まれていると、攻撃者がalt属性の外に出ることができなくなりますように"ことによってそれを置き換えるためにuntrustedを防ぐことができます。また、彼女はまた、何の構文解析がそれに行われないようalt属性によって何かを利用することができません。
例えば、それはa年代href属性、攻撃者ができたであろう、その場合にはにあった場合、それは違うだろうない場合でもクリックしたときにいくつかのjavascriptコードを実行する属性から外れることができる。 (javascript:alert(/XSSed/);のように)
ルービのエンコーダin owasp。 encode_for_html_attrを参照してください。 https://github.com/thesp0nge/owasp-esapi-ruby/blob/master/lib/codec/encoder.rb – Erlend