【发布时间】:2010-05-19 11:20:48
【问题描述】:
我正在检查我正在开发的 Web 应用程序中的 XSS 漏洞。这个 Rails 应用程序使用 h 方法来清理它生成的 HTML。
但是,它确实使用了 jQueryUI 自动完成小部件(最新版本中的新功能),我无法控制生成的 HTML,并且我看到标签没有在那里被转义。在显示之前通过 JSON 请求检索提供给自动完成的数据。我
可能性:
1) 自动完成有一个清理我不知道的选项
2) 在 jQuery 中有一种简单的方法可以做到这一点,我不知道
3) 在我不知道的 Rails 控制器中,有一种简单的方法可以做到这一点(我不能使用 h 方法)
4) 禁止模型中的
建议?
【问题讨论】:
标签: jquery ruby-on-rails jquery-ui xss