我正在使用
Brakeman来识别安全问题.它标记了使用params.merge作为跨站点脚本漏洞的任何链接.如何消毒如下的东西?
- @archives.each do |archive|
= link_to "FTP",params.merge(:action => :ftp,:archive => archive,:recipient => "company")
解决方法
您应该仅基于您期望的参数元素创建新的哈希值,并希望允许它们作为FTP链接的一部分,并使用它来合并其他参数.
您允许我通过修改查询字符串来添加任何我想要的FTP链接,打开安全漏洞的大门.通过构建用于代替params.merge中的参数的哈希(…您实际上将预期的querystring组件列入白名单,以便在您要渲染的模板中使用.
作为一个GET示例,如果您期望一个URL
/some/path?opt1=val1&opt2=val2
你可能会做出控制器的操作
@cleaned_params = { opt1: params[:opt1],opt2: params[:opt2] }
@cleaned_params.merge! action: :ftp,archive: archive,recipient: :company
然后将@cleaned_params传递给link_to
= link_to "FTP",@cleaned_params
这样我手动输入一个URL
/some/path?opt1=val1&opt2=val2&malicIoUsopt=somexss
params [:malicIoUsopt]将永远不会在您的视图中进入您的FTP link_to.
同样的行为适用于POST请求,只是恶意的,我可能会在提交表单之前添加几个字段
<input type="hidden" name="malicIoUsopt" value="somexss" />