2
나는 simple_format이 특정 HTML 태그를 허용한다는 것을 읽고 테스트했다.xss로부터 보호 할 수 있도록 레일스에 simple_format 도우미가 있습니까?
xss를 다시 보호 할만큼 안전합니까? (나는 사용자가 자신의 텍스트를 예쁘게 만들기 위해 HTML을 넣을 것 같지 않다고 가정)이 결과가 xss가 될 수 있습니까? 또는 h 방법으로 계속해야합니까?
A
답변
1
이제 레일 4.0.0과 4.0.1에 해결 된 취약점이있는 것으로 보입니다. 안전해야합니다. 이 문제에 대한 링크는 다음과 같습니다. https://groups.google.com/forum/#!topic/ruby-security-ann/5ZI1-H5OoIM
'h'메소드 *와 *는 모두 'simple_format'을 사용할 수 없습니다. 그것들은 상호 배타적입니다. – meagar
xss를 없애기 위해 위생 처리를하고 싶지만 특정 태그를 허용하고 싶습니다 (특히 줄을 지우면 사용자 입력 내용이 깨어지기를 원합니다). –
그런 다음'simple_format'을 사용하십시오. 이 문서에 설명 된 것처럼 입력을 위생적으로 처리하려고 시도합니다. – meagar