本文介绍在Rails应用中如何处理用户提交的内容,确保不会因恶意代码注入而危害网站安全。通过使用h方法及sanitize辅助方法来转义或过滤潜在有害的HTML标签与JavaScript代码。
如果允許用戶向網站遞交內容,就必須考慮到會有人遞交一些惡意的內容(通常是以JavaScript形式).因此絕對不能將用戶遞交的內容直接顯示在瀏覽器中.Rails有一個快捷方法h(html_escape方法的別名),可以將所有輸出內容轉義:
比如,如果first)name是>George<,就會被輸出成[quote]>George<[/quote],這樣的話,用戶就無法輸入瀏覽器能解析的HTML標志或者JavaScript.
如果允許用戶存儲一些安全的HTML,可以調用sanitize輔助方法輸出.這個輔助方法會在輸出時屏蔽掉所有的表單標簽、腳本標簽和onXXX(比如onClick)屬性,以避免在頁面上執行惡意的JavaScript.
<%= 好@user.first_name %>比如,如果first)name是>George<,就會被輸出成[quote]>George<[/quote],這樣的話,用戶就無法輸入瀏覽器能解析的HTML標志或者JavaScript.
如果允許用戶存儲一些安全的HTML,可以調用sanitize輔助方法輸出.這個輔助方法會在輸出時屏蔽掉所有的表單標簽、腳本標簽和onXXX(比如onClick)屬性,以避免在頁面上執行惡意的JavaScript.
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
