ruby-on-rails – params.merge和跨站点脚本

发布时间:2019-11-12 发布网站:脚本之家
脚本之家收集整理的这篇文章主要介绍了ruby-on-rails – params.merge和跨站点脚本脚本之家小编觉得挺不错的,现在分享给大家,也给大家做个参考。
我正在使用 Brakeman来识别安全问题.它标记了使用params.merge作为跨站点脚本漏洞的任何链接.如何消毒如下的东西?
- @archives.each do |archive|
    =  link_to "FTP",params.merge(:action => :ftp,:archive => archive,:recipient => "company")

解决方法

您应该仅基于您期望的参数元素创建新的哈希值,并希望允许它们作为FTP链接的一部分,并使用它来合并其他参数.

您允许我通过修改查询字符串来添加任何我想要的FTP链接,打开安全漏洞的大门.通过构建用于代替params.merge中的参数的哈希(…您实际上将预期的querystring组件列入白名单,以便在您要渲染的模板中使用.

作为一个GET示例,如果您期望一个URL

/some/path?opt1=val1&opt2=val2

你可能会做出控制器的操作

@cleaned_params = { opt1: params[:opt1],opt2: params[:opt2] }
@cleaned_params.merge! action: :ftp,archive: archive,recipient: :company

然后将@cleaned_pa​​rams传递给link_to

=  link_to "FTP",@cleaned_params

这样我手动输入一个URL

/some/path?opt1=val1&opt2=val2&maliciousopt=somexss

params [:maliciousopt]将永远不会在您的视图中进入您的FTP link_to.

同样的行为适用于POST请求,只是恶意的,我可能会在提交表单之前添加几个字段

<input type="hidden" name="maliciousopt" value="somexss" />

总结

以上是脚本之家为你收集整理的ruby-on-rails – params.merge和跨站点脚本全部内容,希望文章能够帮你解决ruby-on-rails – params.merge和跨站点脚本所遇到的程序开发问题。

如果觉得脚本之家网站内容还不错,欢迎将脚本之家网站推荐给程序员好友。

本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:76874919,请注明来意。

脚本之家官方公众号

微信公众号搜索 “ 程序精选 ” ,选择关注!

微信公众号搜索 “ 程序精选 ” ,选择关注!
精选程序员所需精品干货内容!

标签: