@GMile1 фев 2010 в 11:26

Защита от XSS в Rails 3

4 мин

3.5K

Ruby on Rails *

Перевод

+21

Комментарии 21

@UUSER 1 фев 2010 в 12:10

Ещё здесь наверное хорошо было бы рассказать про safe_helper

@ingeniarius 1 фев 2010 в 13:41

А вообще как вам кажется что происходит с Rails 3,
становится модульным/легче или всё для всего и сразу?

НЛО прилетело и опубликовало эту надпись здесь

@GMile 1 фев 2010 в 14:37

А раньше так и фильтровались — надо нам отфильтровать, скажем, some_text, пишем: <%=h some_text %>. Просто теперь это делается автоматически по умолчанию всегда (т.е. h писать не надо) + учитываются любые возникающие в рантайме конкатенации

@akzhan 1 фев 2010 в 15:10

Ну не совсем так.

Многие Railsmen просто использовали плагины, которые безопасно эскейпили весь вывод.

Просто подключали плагин и всё.

@GMile 1 фев 2010 в 15:16

Конечно, но от этого значительно страдала скорость работы. Да и я описал самый простой пример.

@coldFlame 1 фев 2010 в 15:13

Однако же code.google.com/p/xssterminate/ есть

@GMile 1 фев 2010 в 15:17

Однако давненько ж он не обновлялся…

@UUSER 1 фев 2010 в 16:59

rails_xss

@coldFlame 1 фев 2010 в 17:41

Ась? Последний коммит — 8 октября прошлого года.

К тому же, он достаточно просто, чтобы «просто работать».

@GMile 1 фев 2010 в 17:49

code.google.com/p/xssterminate/source/detail?r=14 — последняя ревизия 15-го февраля, т.е. почти… год назад?

@motiv 1 фев 2010 в 18:16

вот я поставил rails_xss(бэкпорт)
Какого, извиняюсь, оно не фильтрует «link_to forum.title, ...»? Что вообще за подход — фильтровать шаблон? Почему бы не внедрить данный функционал в модель, где ему самое место? И вызывать не <%= raw forum.title %>, <%= forum.title.raw %>? Было бы более красиво и правильно.
P.S — использую рельсы давно, но это полный п.

@motiv 1 фев 2010 в 18:18

кстати, а от xss с data: в пользовательских ссылках это решение скорей всего не поможет.

НЛО прилетело и опубликовало эту надпись здесь

@motiv 1 фев 2010 в 19:29

я хочу чтобы ВСЕ данные передаваемые из БД, если не указано иначе, были отфильтрованы. А то получается:
1) <%= forum.title %> — xss фильтруется;
2) <%= link_to forum.title, topics_path(forum) %> — нет;
3) <%= link_to h(forum.title), topics_path(forum) %> — фильтруется.

НЛО прилетело и опубликовало эту надпись здесь

@kronos 1 фев 2010 в 19:45

Напишите в рассылку rails с вашими соображениями по этому поводу. «Ругаться на лавке у подъезда» может каждый.

@motiv 2 фев 2010 в 04:32

Сомневаюсь что они станут переделывать. Хотя попробую сделать свою реализацию, если будет время.

НЛО прилетело и опубликовало эту надпись здесь

Зарегистрируйтесь на Хабре, чтобы оставить комментарий