ruby-on-rails - <span style=...> sanitizer 安全吗?

标签 ruby-on-rails ruby-on-rails-3 sanitize html-safe

我正在使用富文本编辑器 (CKEditor),我有机会让用户创建显示给其他用户的配置文件。

当我将它们显示为时,CKEditor 可以控制的许多属性都将丢失:

<%= sanitize(profile.body) %>

我的问题是:允许解析属性“样式”是否安全?这将允许显示文本颜色、大小、背景颜色、居中、缩进等内容。我只是想确保它不会允许黑客访问我不知道的东西!

最佳答案

is it safe to allow the attribute 'style' to be parsed?



不。
background-image: url(javascript:[code]);
width: expression([code]);                  /* ie */
behavior: url([link to code]);              /* ie */
-moz-binding: url([link to code]);          /* ff */

更不用说 UI 欺骗攻击了,比如在真实的登录表单上放置一个虚假的登录表单或其他东西。

关于ruby-on-rails - <span style=...> sanitizer 安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/5371648/

上一篇:ruby-on-rails - Rails 3.2 错误路由问题。错误 ID 与其他对象 ID 冲突

下一篇:asp.net - 在 .NET 应用程序上使用 Phantom JS 生成 PDF

相关文章:

mysql - 2 个 Rails 应用程序使用 1 个 MySQL 数据库 - 有哪些风险?

Ruby Sanitize Code ... 为什么 & sanitized

angularjs - ngSanitize 已用 Bower 删除,现在我收到 ngSanitize Missing Exception

ruby-on-rails - Rails - strip_tags - 没有捕获 DOCTYPE?

ruby-on-rails - 如何在 ruby​​ 模型中设置默认属性

ruby-on-rails - 如何在不实例化 ActiveRecord 对象的情况下将 ActiveRecord SQL 查询转换为哈希数组?

ruby-on-rails - 在外键上添加索引如何工作?

ruby-on-rails-3 - 无法使用 Capybara 登录到 ActiveAdmin/Devise

ruby-on-rails - rails 3 : What is the correct Rails way of doing custom types?

ruby-on-rails - Heroku 上的 open-uri 错误

©2024 IT工具网  联系我们