安全 rails 安全编程几个小问题

itsvoid · 2012年09月10日 · 最后由 itsvoid 回复于 2012年09月11日 · 3438 次阅读

才从 php 转过来，有几个关于安全的小问题问问： 1.rails 自动 add_slash 吗？还是有 rails 函数可以调用呢？ 2.rails 有转义 html 的函数吗？防止 xss 3.开放问题，常用的 rails 安全实践（最好是你写过的，谢谢分享！）。

tumayun #1 2012年09月10日

第二问题，生成 form 表单的时候会有一个 auth_token 生成

itsvoid #2 2012年09月10日

#1 楼 @tumayun 这个和 xss 还不大一样哟。比如我在 input text 里面写 <script>alert</script>，需要被转义成<script>...

itsvoid #3 2012年09月10日

#2 楼 @itsvoid 我写的是&-l-t;

raven #4 2012年09月10日

rails3 默认转义. 想不转义的话调用 raw() 或 .html_safe().

ywencn #5 2012年09月10日

tumayun #6 2012年09月10日

@itsvoid xss 不是跨站点攻击么？

itsvoid #7 2012年09月10日

#6 楼 @tumayun xss 和 csrf 不是同一个东东吧

tumayun #8 2012年09月10日

@itsvoid 呃想岔了

itsvoid #9 2012年09月10日

#4 楼 @raven 也就是说 rails 默认就开启了 add_slash？或者有其他机制来保证避免 sql injection？也默认转义了危险 tag，比如<script>，是么？？

itsvoid #10 2012年09月10日

#9 楼 ruby-china 的评论回复好像是比较粗暴地删除危险 tag，而不是转义显示么？

jjym #11 2012年09月10日

#10 楼 @itsvoid 默认标签貌似都会转义。用 activerecord 或其他一些 orm 的话基本不会被注入（只要不是故意的。。）是因为有些 tag 还是要显示的吧（a 标签什么的 markdown 格式的一些..）

itsvoid #12 2012年09月11日

#11 楼 @jjym 你试试 script 标签，后台并没有转义而是不显示

需要登录后方可回复, 如果你还没有账号请注册新账号