在 Rails 应用程序中,用户可以创建事件并发布 URL 以链接到外部事件站点。
如何清理网址以防止 XSS 链接?
提前致谢,
XSS 示例,rails 的清理方法无法预防该问题
@url = "javascript:alert('XSS')"
<a href="<%=sanitize @url%>">test link</a>
一旦 href 已经在标签中,请尝试清理:
url = "javascript:alert('XSS')"
sanitize link_to('xss link', url)
这给了我:
<a>xss link</a>
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)