【问题标题】:Rails 5 - link_to params Raises: Attempting to generate a URL from non-sanitized request parametersRails 5 - link_to params 引发:尝试从未过滤的请求参数生成 URL
【发布时间】:2017-06-13 02:47:02
【问题描述】:

很简单的链接:

<%= link_to("Download CSV", params.merge(format: :csv) %>

加注:

正在尝试从未经处理的请求参数生成 URL!一个 攻击者可以在生成的 URL 中注入恶意数据,例如 换主机。白名单并清理传递的参数 安全。

这在以前版本的 rails 中没有引发错误。

【问题讨论】:

    标签: ruby-on-rails-5


    【解决方案1】:

    哇 - 回答我自己的问题:

    <%= link_to("Download CSV", params.permit(:product_ids).merge(format: :csv) %>
    

    这是因为强大的参数

    【讨论】:

    • 如果我使用 /?product_ids=%22%3E%3Csvg%2Fonload%3Dconfirm(%2FXSS-IS-HERE%2F)%3E 之类的东西,那会不会仍然不安全
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2016-03-28
    • 2012-09-03
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2015-12-12
    • 1970-01-01
    相关资源
    最近更新 更多