Rails宝典之第二十七式: CSS(Cross Site Scripting)

最新推荐文章于 2025-09-25 05:59:02 发布
最新推荐文章于 2025-09-25 05:59:02 发布 · 90 阅读 · 0
文章标签:

#CSS #Rails #浏览器 #CGI #HTML

本文讨论了在博客评论中用户输入未经适当处理可能导致的XSS攻击风险,并提供了两种防止这种安全威胁的方法。
这次你将看到escape用户输入的任何HTML是多么重要

假设博客上有一个comment表单,我们输入如下内容:
[code]
Testing <script>alert('test')</script>
[/code]
提交我们的comment,如果浏览器弹出alert框,说明该博客没有对用户输入的comment进行escape

Hacker可以利用这个弱点来做CSS攻击:
[code]
Got your cookies! <script>alert(document.cookie)</script>
[/code]
用户在comment表单填入上面内容,这样站点的cookie就暴露无疑了,这是非常危险的。

有两种解决方案:
1)在显示用户输入的内容时escape一下
[code]
<%= h(comment.content) %>
[/code]
2)把用户输入的内容存入数据库前就escape
[code]
CGI::escapeHTML(...)
[/code]

一般来说使用第一种方法即可。
XSS.rar_XSS_cross scripting_cross site java_cross site scripting
09-14
XSS,全称为"Cross Site Scripting",是一种常见的网络安全漏洞,它允许攻击者在用户的浏览器中注入恶意脚本。这种攻击方通常发生在Web应用中,攻击者利用网站未能充分过滤或转义用户输入的数据,将恶意代码嵌入到...
Ruby-on-Rails-3.rar_site:www.pudn.com
09-19
该资源的核心内容是《Web开发敏捷之道 - 应用Rails进行敏捷Web开发 - 第三版》这本书的PDF版本。这本书详细介绍了使用Ruby on Rails框架进行敏捷Web开发的相关知识。 Ruby on Rails(简称Rails)是一种基于Ruby编程...
RailsCase27 Cross Site Scripting 跨站点脚本攻击
dazhi_100的专栏
09-03 1151
跨站点脚本是开发过程中经常需要考虑的安全问题。此种情形发生在允许用户直接输入html、javascript脚本时。在下述的website中,我们并没有过滤输入的内容,导致一些安全漏洞。 如果在输入框中输入由包围的内容,当页面被加载的时候,脚本将被执行,每次均将在前端展示。例如,如果输入alert(’hello’)并保存,每次浏览此页面时,都将看到alert的窗口。 嵌入页面的javas
Rails宝典之第八: layout与content_for
blacksource的专栏
12-25 2528
如果我们想根据模板页面更改局部layout,使用content_for即可。  content_for允许模板页面代码放到layout中的任何位置。  比如我们的Rails程序不同的页面有不同的css,我们可以在layout里留出位置:  Java代码   "-//W3C//DTD XHTML 1.0 Strict//EN"     "http://w
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)
weixin_43125873的博客
08-15 413
OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS) 文章目录OWASP TOP10系列之#TOP7# A7-Cross-Site Scripting (XSS)前言一、XSS是什么?二、如何防御总结 前言 Cross-Site Scripting (XSS) 即跨站域脚本攻击,XSS 是 OWASP Top 10 中第二个最普遍的问题,在所有应用程序的大约三分之二中都存在。 一、XSS是什么? 反射型 (Reflected )XSS:应用程序或 API
Rails宝典之第二: 动态find_by方法
blacksource的专栏
12-25 3934
Rails宝典之第二: 动态find_by方法  忘了声明了,这个系列主要是Rails入门教学。  今天Rails宝典教大家的是动态find_by方法,我们先看一段代码:  Ruby代码   class TasksController       def incomplete       @tasks = Task.find(:all, :con
Rails宝典之第一: 实例变量做查询缓存
blacksource的专栏
12-25 1873
前段时间对Rails的跟进有点懈怠,因为公司让我做Spring的内部培训,便抽空回归Java,看了下字符集,字节码,Annotation,  JavaConfig,JavaScript,Perl,花生壳等等乱七八糟的东西,差点把心收不回来准备去搞C#.net了。  每天一剂Rails良药要开工了,顺便把《The Ruby Way》eMule下来了,再写个“每天一条Ruby小道”怎么样?
Rails宝典之第九: 在日志里过滤敏感数据
blacksource的专栏
12-25 1890
这是个安全问题,当我们在系统注册页面输入密码等敏感数据时,我们可以看到,密码以明文的形显示在日志文件里:  Java代码   Processing UsersController#create (for 127.0.0.1 at 2007-02-23 19:11:20) [POST]     Session ID: 4047778b64af62d387f7e86
Rails宝典之第二十四: Stack Trace
blacksource的专栏
01-09 755
这次讲的是一个textmate plugin textmate_footnotes,用来当Rails程序页面出错时可以点击Stack Trace链接去到  Rails程序源码甚至Rails源码中。  No use for no Mac guys.  -_-!
Rails Girls GuidesPostCSS插件开发:定制CSS处理流程
gitblog_00349的博客
09-25 729
Rails Girls Guides是一个专注于帮助女性学习Rails开发的开源项目,提供了丰富的教程和指导资源。本指南将带你探索如何开发PostCSS插件来定制CSS处理流程,提升项目样管理效率。项目核心文档可参考[README.md](https://gitcode.com/gh_mirrors/gu/guides.railsgirls.com/blob/99e057fe95a09d1855...
rails CSS/XSS——cross-site scripting
02-14 354
if you use h(),it will be:otherwise: it wont be shown:also:otherwise:it functioned:
critical-path-css-rails:仅在Rails中加载初始视口所需CSS
02-06
关键路径css-rails 仅在Rails中加载初始视口所需CSS! 这种宝石让你只加载您需要的初始页面视图中CSS的能力。 由于没有最初的网络调用来获取您应用程序CSS,因此可以让您快速发展。 此gem假定您将异步加载其余CSS...
picnic-rails:Rails资产管道的野餐CSS
05-02
野餐的铁轨 安装 picnic-rails很容易随资产管道一起落入Rails中。 在您的Gemfile中,您需要添加picnic-rails gem,并确保存在sass-rails gem-默认... 如果您刚刚生成了一个新的Rails应用程序,则它可能带有.css文件。
rails_rest_vote:RESTful投票宝典,用于Rails应用
04-29
如果您在Web应用程序中以及移动应用程序中使用了诸如angular2之类的任何前端客户端,那将非常有帮助。 先决条件 启用CORS 如果要构建公共API,则可能要启用跨域资源共享(CORS),以使跨域AJAX请求成为可能。 ...
2020秋季学期中国科学技术大学计算机科学与技术专业编译原理课程实验项目全记录与代码实现_包含词法分析语法分析语义分析中间代码生成优化和目标代码生成等完整编译流程的五个实验模块详细.zip
12-10
2020秋季学期中国科学技术大学计算机科学与技术专业编译原理课程实验项目全记录与代码实现_包含词法分析语法分析语义分析中间代码生成优化和目标代码生成等完整编译流程的五个实验模块详细.zip
网络卡顿,重启网络,双击
12-10
网络卡顿,重启网络,双击
电子科技大学编译原理课程实验项目基于Python实现的Pascal语言部分编译器设计与实现包含词法分析器和语法分析器两大核心模块能够对特定Pascal源代码进行逐字符扫描识.zip
12-10
电子科技大学编译原理课程实验项目基于Python实现的Pascal语言部分编译器设计与实现包含词法分析器和语法分析器两大核心模块能够对特定Pascal源代码进行逐字符扫描识.zip
基于非支配吸血水蛭优化算法 (NSBSLO)求解多目标柔性作业车间调度问题(FJSP)研究(Matlab代码实现)
最新发布
12-10
基于非支配吸血水蛭优化算法 (NSBSLO)求解多目标柔性作业车间调度问题(FJSP)研究(Matlab代码实现)
编译原理实验项目之文法类型判断与符号分离处理系统_实现文法的输入接收与存储_从产生中自动分离并输出非终结符和终结符_基于小写字母规则进行符号分类_判断并输出文法类型包括0型1型2.zip
12-10
编译原理实验项目之文法类型判断与符号分离处理系统_实现文法的输入接收与存储_从产生中自动分离并输出非终结符和终结符_基于小写字母规则进行符号分类_判断并输出文法类型包括0型1型2.zip
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值