相当high-profile security vulnerability in Rails最近阐明了在 Ruby 应用程序中解析用户提供的 YAML 的潜在危险。
快速谷歌搜索显示 Python's YAML library包括一个 safe_load
方法,它只会反序列化“简单的 Python 对象,如整数或列表”,而不是任何任意类型的对象。
Ruby 有对应的吗?有什么方法可以在 Ruby 应用程序中安全地接受 YAML 输入而无需手写自定义解析器?
最佳答案
正在关注 Jim's advice我继续写了 safe_yaml ,一个 gem,它添加了 YAML.safe_load
方法并在内部使用 Psych 来完成繁重的工作。
关于python - Ruby 中是否有等同于 yaml.safe_load 的东西?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14348538/