In un'applicazione rails, gli utenti possono creare eventi e pubblicare un URL per collegarsi al sito dell'evento esterno.Sanitizzazione dell'URL per impedire XSS in Rails
Come si disinfettano gli URL per impedire i collegamenti XSS?
Grazie in anticipo,
esempio di XSS, che non è prevenibile da metodo sanitize
@url = "javascript:alert('XSS')"
<a href="<%=sanitize @url%>">test link</a>
@url = "javascript: alert ('XSS')" xss link non funziona. dovrei riflettere sulla mia domanda che ho già testato il metodo igienizzante delle rotaie. – rickypai
La gemma sanitize di rgrove è davvero bella se hai bisogno di un controllo maggiore rispetto a quello fornito da Rails sanitize. Ad ogni modo, come sottolinea la risposta di Ben, è necessario disinfettare l'html per l'intero link, non solo l'URL stesso. – antinome