rails中的html_escape,escape_javascript的应用

先来简单测试以下你工程的安全性。

 

1  比如你有DB中的项目，在A画面是可以修改的，在B画面是个表示项目

你先在A画面输入下面的代码，然后到B画面把这个值表示出来

<mce:script type="text/javascript"><!-- alert('xss'); // --></mce:script> 

如果big surprise了，那么很遗憾你的工程有被XSS（site cross script）攻击的危险

 

2  找一个画面输入的值可能作为js参数的字段，输入个单引号'，再次回到这个画面

如果js error了，那么又很遗憾也有被攻击的危险。

 

 

 

下面看看在rails中怎么预防：

针对第一种情况

在输出到画面前用html_escape方法转译下。 

html_escape方法的简写是h

<%= h @user.name %> 

下面看看h方法都转译了哪些字符

HTML_ESCAPE = { '&' => '&', '>' => '>', '<' => '<', '"' => '"' } JSON_ESCAPE = { '&' => '/u0026', '>' => '/u003E', '<' => '/u003C' } # A utility method for escaping HTML tag characters. # This method is also aliased as <tt>h</tt>. # # In your ERb templates, use this method to escape any unsafe content. For example: # <%=h @person.name %> # # ==== Example: # puts html_escape("is a > 0 & a < 10?") # # => is a > 0 & a < 10? def html_escape(s) s = s.to_s if s.html_safe? s else s.gsub(/[&"><]/) { |special| HTML_ESCAPE[special] }.html_safe end end

看到了吗？& < > "这四个被转译了

 

 

 

针对第二种情况

（js参数或者变量是画面输入的内容）

用escape_javascript方法

看看它都转译了什么？

JS_ESCAPE_MAP = { '//' => '', '</' => '<//', "/r/n" => '/n', "/n" => '/n', "/r" => '/n', '"' => '//"', "'" => "//'" } # Escape carrier returns and single and double quotes for JavaScript segments. def escape_javascript(javascript) if javascript javascript.gsub(/(//|<//|/r/n|[/n/r"'])/) { JS_ESCAPE_MAP[$1] } else '' end end

 

有了这2个方法可以初步搞定了XSS威胁拉~

 

 

顺便再提一下，rails中sql injection的防止，

当然是不能用字符串链接来拼sql文了，要用？传值，你懂的。

 

对于检索条件有like的，rails（2.3.8）没有对关键字%,_进行转译

自己转，模仿escape_javascript写个方法

SQL_ESCAPE_MAP = { '//' => '', '%' => '/%', "_" => '/_'} def escape_sql(sql) if sql sql.gsub(/(//|<//|/r/n|[/n/r"'])/) { SQL_ESCAPE_MAP[$1] } else '' end end 

原文地址：http://blog.youkuaiyun.com/zhao_hongsheng/archive/2011/05/11/6412022.aspx