【问题标题】:Should I call escape_javascript when displaying data fetched from the database显示从数据库中获取的数据时是否应该调用 escape_javascript
【发布时间】:2019-10-24 07:40:51
【问题描述】:

在保存到数据库之前,我在模型级别有​​一个字段为 xss_sanatised。当我希望显示它时,我应该再次escape_javascript 在视图中渲染它之前吗?

我的查询应该是这样的

User.all.pluck(:id, :name).map { id: id, name: escape_javascipt(name)}

而不是

User.all.pluck(:id, :name).map { id: id, name: name }

当我直接在数据库中注入<script>alert('hi')</script> 时,它实际上是在 UI 中执行的。 虽然如果不直接编写 SQL 查询,我就无法将该值写入数据库。

那么我应该对所有字段都使用escape_javascript 吗?

编辑

这在 UI 中使用 select2 呈现为下拉列表

<div input="hidden" id="input"></div>
jQuery('#input').select2({
    multiple: false,
    data: <%=tech.to_json.html_safe%>,
    initSelection : function (element, callback) {
        callback(<%= esc.to_json.html_safe %>);
    }
});

【问题讨论】:

  • 如何显示?
  • “要逐字插入内容,请使用 raw 帮助程序,而不是调用 html_safe,或者等效地使用 &lt;%==。” - Active Record Core Extensions

标签: ruby-on-rails ruby security ruby-on-rails-4 xss


【解决方案1】:

我认为您在这里感到困惑仅仅是因为您绕过了自己的应用程序的清理规则 - 通过直接写入数据库。

默认情况下,您永远不应该“信任”用户输入。应始终将其视为潜在恶意。

您可能选择信任它的一个原因是它是否由内部用户(例如您自己!)提供。

或者,您可能选择信任它的另一个原因是,如果您在持久化它之前对其进行了清理 - 即您已明确阻止任何潜在的恶意输入。

假设您的“xss_sanatised”输入是安全的(我无法确认,因为您没有共享代码),那么您可以相信用户输入是安全的。所以直接在浏览器中显示就可以了。

但是,如果你通过“直接写SQL查询”手动强制不安全的输入到数据库中,那么上面“输入是安全的”的假设自然就失效了。但这是一个“不可能”的场景,所以我不会特别担心。

如果您真的希望对此更加安全,那么您可以在渲染之前重新清理输入。但在我看来,这很可能是矫枉过正。 (无论哪种方式,您都应该只需要对其进行一次消毒!)


escape_javascript 是一个单独的方法,与用户输入清理无关。这与您描述的问题无关。

如果您需要对某个值调用 escape_javascript,那就去吧。但同样,由于您没有共享视图渲染代码,我无法告知是否真的需要它。

【讨论】:

    猜你喜欢
    • 2020-10-03
    • 2019-04-21
    • 1970-01-01
    • 2013-12-04
    • 1970-01-01
    • 2010-09-14
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多