GMile Feb 1 2010 at 14:26

Защита от XSS в Rails 3

4 min

3.4K

Ruby on Rails *

Translation

+21

Comments 21

UUSER Feb 1 2010 at 15:10

Ещё здесь наверное хорошо было бы рассказать про safe_helper

ingeniarius Feb 1 2010 at 16:41

А вообще как вам кажется что происходит с Rails 3,
становится модульным/легче или всё для всего и сразу?

UFO just landed and posted this here

GMile Feb 1 2010 at 17:37

А раньше так и фильтровались — надо нам отфильтровать, скажем, some_text, пишем: <%=h some_text %>. Просто теперь это делается автоматически по умолчанию всегда (т.е. h писать не надо) + учитываются любые возникающие в рантайме конкатенации

akzhan Feb 1 2010 at 18:10

Ну не совсем так.

Многие Railsmen просто использовали плагины, которые безопасно эскейпили весь вывод.

Просто подключали плагин и всё.

GMile Feb 1 2010 at 18:16

Конечно, но от этого значительно страдала скорость работы. Да и я описал самый простой пример.

coldFlame Feb 1 2010 at 18:13

Однако же code.google.com/p/xssterminate/ есть

-1

GMile Feb 1 2010 at 18:17

Однако давненько ж он не обновлялся…

UUSER Feb 1 2010 at 19:59

rails_xss

coldFlame Feb 1 2010 at 20:41

Ась? Последний коммит — 8 октября прошлого года.

К тому же, он достаточно просто, чтобы «просто работать».

GMile Feb 1 2010 at 20:49

code.google.com/p/xssterminate/source/detail?r=14 — последняя ревизия 15-го февраля, т.е. почти… год назад?

motiv Feb 1 2010 at 21:16

вот я поставил rails_xss(бэкпорт)
Какого, извиняюсь, оно не фильтрует «link_to forum.title, ...»? Что вообще за подход — фильтровать шаблон? Почему бы не внедрить данный функционал в модель, где ему самое место? И вызывать не <%= raw forum.title %>, <%= forum.title.raw %>? Было бы более красиво и правильно.
P.S — использую рельсы давно, но это полный п.

-1

motiv Feb 1 2010 at 21:18

кстати, а от xss с data: в пользовательских ссылках это решение скорей всего не поможет.

UFO just landed and posted this here

motiv Feb 1 2010 at 22:29

я хочу чтобы ВСЕ данные передаваемые из БД, если не указано иначе, были отфильтрованы. А то получается:
1) <%= forum.title %> — xss фильтруется;
2) <%= link_to forum.title, topics_path(forum) %> — нет;
3) <%= link_to h(forum.title), topics_path(forum) %> — фильтруется.

-1

UFO just landed and posted this here

kronos Feb 1 2010 at 22:45

Напишите в рассылку rails с вашими соображениями по этому поводу. «Ругаться на лавке у подъезда» может каждый.

motiv Feb 2 2010 at 07:32

Сомневаюсь что они станут переделывать. Хотя попробую сделать свою реализацию, если будет время.

UFO just landed and posted this here