【问题标题】:How Do I Prevent a XSS Cross-Site Scripting Attack When Using jQueryUI Autocomplete使用 jQueryUI 自动完成时如何防止 XSS 跨站脚本攻击
【发布时间】:2010-05-19 11:20:48
【问题描述】:

我正在检查我正在开发的 Web 应用程序中的 XSS 漏洞。这个 Rails 应用程序使用 h 方法来清理它生成的 HTML。

但是,它确实使用了 jQueryUI 自动完成小部件(最新版本中的新功能),我无法控制生成的 HTML,并且我看到标签没有在那里被转义。在显示之前通过 JSON 请求检索提供给自动完成的数据。我

可能性:

1) 自动完成有一个清理我不知道的选项

2) 在 jQuery 中有一种简单的方法可以做到这一点,我不知道

3) 在我不知道的 Rails 控制器中,有一种简单的方法可以做到这一点(我不能使用 h 方法)

4) 禁止模型中的

建议?

【问题讨论】:

    标签: jquery ruby-on-rails jquery-ui xss


    【解决方案1】:

    您是否控制提供给插件的 JSON?如果是这样,最好的办法是使用 CGI::escapeHTML 在将数据编码为 JSON 之前正确转义数据。

    这样,您的数据将被清理,您不必担心 XSS。

    【讨论】:

    • 我愿意,但清理它的标准方法是 Rails h 方法,它在控制器中不可用。
    • @theschmitzer:使用CGI::escapeHTML()
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2015-04-01
    • 2011-09-07
    • 1970-01-01
    • 2017-11-06
    • 2014-09-27
    • 2022-01-08
    相关资源
    最近更新 更多