【发布时间】:2017-06-13 02:47:02
【问题描述】:
很简单的链接:
<%= link_to("Download CSV", params.merge(format: :csv) %>
加注:
正在尝试从未经处理的请求参数生成 URL!一个 攻击者可以在生成的 URL 中注入恶意数据,例如 换主机。白名单并清理传递的参数 安全。
这在以前版本的 rails 中没有引发错误。
【问题讨论】:
标签: ruby-on-rails-5
很简单的链接:
<%= link_to("Download CSV", params.merge(format: :csv) %>
加注:
正在尝试从未经处理的请求参数生成 URL!一个 攻击者可以在生成的 URL 中注入恶意数据,例如 换主机。白名单并清理传递的参数 安全。
这在以前版本的 rails 中没有引发错误。
【问题讨论】:
标签: ruby-on-rails-5
哇 - 回答我自己的问题:
<%= link_to("Download CSV", params.permit(:product_ids).merge(format: :csv) %>
这是因为强大的参数
【讨论】:
/?product_ids=%22%3E%3Csvg%2Fonload%3Dconfirm(%2FXSS-IS-HERE%2F)%3E 之类的东西,那会不会仍然不安全