`
fireflyman
  • 浏览: 113757 次
  • 性别: Icon_minigender_1
  • 来自: 火星
社区版块
存档分类
最新评论

跨腳本攻擊(Ruby on rails<電子商務實戰摘錄-->1>)

    博客分类:
  • ROR
RailsRubyJavaScriptHTML 
阅读更多
    如果允許用戶向網站遞交內容,就必須考慮到會有人遞交一些惡意的內容(通常是以JavaScript形式).因此絕對不能將用戶遞交的內容直接顯示在瀏覽器中.Rails有一個快捷方法h(html_escape方法的別名),可以將所有輸出內容轉義:

    
<%= 好@user.first_name %>


     比如,如果first)name是>George<,就會被輸出成
引用
&gt;George&lt;
,這樣的話,用戶就無法輸入瀏覽器能解析的HTML標志或者JavaScript.

    如果允許用戶存儲一些安全的HTML,可以調用sanitize輔助方法輸出.這個輔助方法會在輸出時屏蔽掉所有的表單標簽、腳本標簽和onXXX(比如onClick)屬性,以避免在頁面上執行惡意的JavaScript.
分享到:
| 校园实战平台实施方案初探
评论
发表评论

您还没有登录,请您登录后再发表评论

相关推荐

Magicbox
Global site tag (gtag.js) - Google Analytics