我怎么知道我的AJAX请求是否容易受到XSS的攻击?

时间:2011-06-07 20:18:17

标签: ruby-on-rails ajax security xss

安全公司突然审核了我正在处理的网络应用程序,并告诉我存在XSS漏洞。我真的不知道从哪里开始。

这是AJAX:

new Form.Observer('filter', 0.5, function(element, value) 
{
    startLoad('proposals');; 
    new Ajax.Updater('proposals', 'http://acme.example.dev/stuff/filter', 
        {
            asynchronous:true, evalScripts:true, onComplete:function(request)
                {
                }, parameters:value + '&authenticity_token=' + encodeURIComponent('base64StringHere')
        })
});

1 个答案:

答案 0 :(得分:0)

很难确定如何追踪漏洞,因为不清楚您的网页显示的是哪些用户输入。由于您使用的是RoR,因此最好的起点可能是XSS section of the RoR security guide

您也可以尝试运行skipfish之类的扫描程序。它会尝试自动检测XSS和其他安全漏洞,如果找到它们,它会为您提供一些细节和文档来帮助解决问题。

相关问题
最新问题