Railsの - 「はRuby on Rails」にクロスサイトスクリプティングを避けるために、どのようにクロスサイトスクリプティング

Question

を回避するための方法を

私は

以下のコードを使用して、私はどのようにしてどこを行う、知りたいですこのスクリプトが動作しているかどうかを確認してください。

Answer 1

属性やパラメータなど、サードパーティによって操作されることがあるビュー内のものをエスケープする必要があります。

あなたの例では、<script type="text/javascript">alert("XSS")</script>という名前のユーザーを作成しました。名前の存在を検証しているだけであれば、これは有効です。

<!-- Raw output --> 
<a href="#"><script type="text/javascript">alert("XSS")</script></a> 

クライアントこのページをJavaScriptで表示すると、標準のアラートが表示されます。これは私があなたの視点に助けのJavaScriptを注入できることを示しています。

<!-- Escaped output --> 
<a href="#">&lt;script type=&quot;text/javascript&quot;&gt;alert(&quot;XSS&quot;)&lt;/script&gt;</a> 

クライアントこのページをJavaScriptで有効にすると、標準のアラートが表示されません。

これは、ビューがクロスサイトスクリプティング攻撃に対して脆弱かどうかを検証するために使用できる手法です。

代わりに、HAMLの使用を検討することもできます。 HAMLは、明示的にrawにする必要がない限り、常に出力をエスケープするように設定できます。私はこれがERbを使ったRails 3のデフォルト動作であると信じています。

Answer 2

Rails 2.xに自動エスケープを追加する場合は、Michael Koziarskiのrails_xssをご覧ください。あなたが探しているものを正確にしていますか？