安全 rails 安全编程几个小问题

itsvoid · 2012年09月10日 · 最后由 itsvoid 回复于 2012年09月11日 · 2976 次阅读

才从php转过来,有几个关于安全的小问题问问: 1.rails自动add_slash吗?还是有rails函数可以调用呢? 2.rails有转义html的函数吗?防止xss 3.开放问题,常用的rails安全实践(最好是你写过的,谢谢分享!)。

共收到 12 条回复

第二问题,生成form表单的时候会有一个auth_token生成

#1楼 @tumayun 这个和xss还不大一样哟。比如我在input text里面写 <script>alert</script>,需要被转义成<script>...

#2楼 @itsvoid 我写的是&-l-t;

rails3 默认转义. 想不转义的话调用 raw().html_safe().

@itsvoid xss不是跨站点攻击么?

#6楼 @tumayun xss和csrf不是同一个东东吧

@itsvoid 呃 想岔了

#4楼 @raven 也就是说rails默认就开启了add_slash?或者有其他机制来保证避免sql injection?也默认转义了危险tag,比如<script>,是么??

#9楼 ruby-china的评论回复好像是比较粗暴地删除危险tag,而不是转义显示么?

#10楼 @itsvoid 默认标签貌似都会转义。 用activerecord或其他一些orm的话基本不会被注入(只要不是故意的。。) 是因为有些tag还是要显示的吧(a标签什么的markdown格式的一些..)

#11楼 @jjym 你试试script标签,后台并没有转义而是不显示

需要 登录 后方可回复, 如果你还没有账号请点击这里 注册