Rails宝典之第二十七式: CSS(Cross Site Scripting)

最新推荐文章于 2025-09-25 05:59:02 发布
最新推荐文章于 2025-09-25 05:59:02 发布 · 90 阅读 · 0
文章标签:

#CSS #Rails #浏览器 #CGI #HTML

本文讨论了在博客评论中用户输入未经适当处理可能导致的XSS攻击风险,并提供了两种防止这种安全威胁的方法。
这次你将看到escape用户输入的任何HTML是多么重要

假设博客上有一个comment表单,我们输入如下内容:
[code]
Testing <script>alert('test')</script>
[/code]
提交我们的comment,如果浏览器弹出alert框,说明该博客没有对用户输入的comment进行escape

Hacker可以利用这个弱点来做CSS攻击:
[code]
Got your cookies! <script>alert(document.cookie)</script>
[/code]
用户在comment表单填入上面内容,这样站点的cookie就暴露无疑了,这是非常危险的。

有两种解决方案:
1)在显示用户输入的内容时escape一下
[code]
<%= h(comment.content) %>
[/code]
2)把用户输入的内容存入数据库前就escape
[code]
CGI::escapeHTML(...)
[/code]

一般来说使用第一种方法即可。
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
Ruby-on-Rails-3.rar_site:www.pudn.com
09-19
该资源的核心内容是《Web开发敏捷之道 - 应用Rails进行敏捷Web开发 - 第三版》这本书的PDF版本。这本书详细介绍了使用Ruby on Rails框架进行敏捷Web开发的相关知识。 Ruby on Rails(简称Rails)是一种基于Ruby编程...
RailsCase27 Cross Site Scripting 跨站点脚本攻击
dazhi_100的专栏
09-03 1151
跨站点脚本是开发过程中经常需要考虑的安全问题。此种情形发生在允许用户直接输入html、javascript脚本时。在下述的website中,我们并没有过滤输入的内容,导致一些安全漏洞。 如果在输入框中输入由包围的内容,当页面被加载的时候,脚本将被执行,每次均将在前端展示。例如,如果输入alert(’hello’)并保存,每次浏览此页面时,都将看到alert的窗口。 嵌入页面的javas
Rails宝典之第八: layout与content_for
blacksource的专栏
12-25 2528
如果我们想根据模板页面更改局部layout,使用content_for即可。  content_for允许模板页面代码放到layout中的任何位置。  比如我们的Rails程序不同的页面有不同的css,我们可以在layout里留出位置:  Java代码   "-//W3C//DTD XHTML 1.0 Strict//EN"     "http://w
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)
weixin_43125873的博客
08-15 413
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS) 文章目录OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)前言一、XSS是什么?二、如何防御总结 前言 Cross-Site Scripting (XSS) 即跨站域脚本攻击,XSS 是 OWASP Top 10 中第二个最普遍的问题,在所有应用程序的大约三分之二中都存在。 一、XSS是什么? 反射型 (Reflected )XSS:应用程序或 API
Rails宝典之第二: 动态find_by方法
blacksource的专栏
12-25 3934
Rails宝典之第二: 动态find_by方法  忘了声明了,这个系列主要是Rails入门教学。  今天Rails宝典教大家的是动态find_by方法,我们先看一段代码:  Ruby代码   class TasksController       def incomplete       @tasks = Task.find(:all, :con
Rails宝典之第一: 实例变量做查询缓存
blacksource的专栏
12-25 1873
前段时间对Rails的跟进有点懈怠,因为公司让我做Spring的内部培训,便抽空回归Java,看了下字符集,字节码,Annotation,  JavaConfig,JavaScript,Perl,花生壳等等乱七八糟的东西,差点把心收不回来准备去搞C#.net了。  每天一剂Rails良药要开工了,顺便把《The Ruby Way》eMule下来了,再写个“每天一条Ruby小道”怎么样?
Rails宝典之第九: 在日志里过滤敏感数据
blacksource的专栏
12-25 1890
这是个安全问题,当我们在系统注册页面输入密码等敏感数据时,我们可以看到,密码以明文的形显示在日志文件里:  Java代码   Processing UsersController#create (for 127.0.0.1 at 2007-02-23 19:11:20) [POST]     Session ID: 4047778b64af62d387f7e86
Rails宝典之第二十四: Stack Trace
blacksource的专栏
01-09 755
这次讲的是一个textmate plugin textmate_footnotes,用来当Rails程序页面出错时可以点击Stack Trace链接去到  Rails程序源码甚至Rails源码中。  No use for no Mac guys.  -_-!
Rails Girls GuidesPostCSS插件开发:定制CSS处理流程
gitblog_00349的博客
09-25 729
Rails Girls Guides是一个专注于帮助女性学习Rails开发的开源项目,提供了丰富的教程和指导资源。本指南将带你探索如何开发PostCSS插件来定制CSS处理流程,提升项目样管理效率。项目核心文档可参考[README.md](https://gitcode.com/gh_mirrors/gu/guides.railsgirls.com/blob/99e057fe95a09d1855...
rails CSS/XSS——cross-site scripting
02-14 354
if you use h(),it will be:otherwise: it wont be shown:also:otherwise:it functioned:
critical-path-css-rails:仅在Rails中加载初始视口所需CSS
02-06
关键路径css-rails 仅在Rails中加载初始视口所需CSS! 这种宝石让你只加载您需要的初始页面视图中CSS的能力。 由于没有最初的网络调用来获取您应用程序CSS,因此可以让您快速发展。 此gem假定您将异步加载其余CSS...
picnic-rails:Rails资产管道的野餐CSS
05-02
野餐的铁轨 安装 picnic-rails很容易随资产管道一起落入Rails中。 在您的Gemfile中,您需要添加picnic-rails gem,并确保存在sass-rails gem-默认... 如果您刚刚生成了一个新的Rails应用程序,则它可能带有.css文件。
rails_rest_vote:RESTful投票宝典,用于Rails应用
04-29
如果您在Web应用程序中以及移动应用程序中使用了诸如angular2之类的任何前端客户端,那将非常有帮助。 先决条件 启用CORS 如果要构建公共API,则可能要启用跨域资源共享(CORS),以使跨域AJAX请求成为可能。 ...
基于改进灰狼算法的并网交流微电网经济优化调度研究(Matlab代码实现)
12-10
基于改进灰狼算法的并网交流微电网经济优化调度研究(Matlab代码实现)
哈工大编译原理课程实验项目之Pascal语言简易编译器实现从高级语言到汇编代码的完整翻译流程_包含词法分析语法分析语义分析中间代码生成与优化以及目标代码生成的全过程实现并附带详细注.zip
12-10
哈工大编译原理课程实验项目之Pascal语言简易编译器实现从高级语言到汇编代码的完整翻译流程_包含词法分析语法分析语义分析中间代码生成与优化以及目标代码生成的全过程实现并附带详细注.zip
编译原理课程作业与学习资源综合管理仓库_包含词法分析语法分析语义分析中间代码生成代码优化目标代码生成等核心章节的实践代码实验报告习题解答与课程笔记_用于系统化学习编译技术掌握编译器.zip
12-10
编译原理课程作业与学习资源综合管理仓库_包含词法分析语法分析语义分析中间代码生成代码优化目标代码生成等核心章节的实践代码实验报告习题解答与课程笔记_用于系统化学习编译技术掌握编译器.zip
图像质量传输.zip
最新发布
12-10
1.版本:matlab2014a/2019b/2024b 2.附赠案例数据可直接运行。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。
编译原理课程设计项目一个将C语言子集代码翻译成四元的简单编译器实现_编译原理实验C语言子集词法分析语法分析语义分析中间代码生成四元翻译符号表管理错误处理代码.zip
12-10
编译原理课程设计项目一个将C语言子集代码翻译成四元的简单编译器实现_编译原理实验C语言子集词法分析语法分析语义分析中间代码生成四元翻译符号表管理错误处理代码.zip
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值