我记得在纽约市参加的一些聚会上,贝尔实验室的人们正试图在网络上研究R的潜在安全问题。如果R会话对用户保持活动,则存在将代码注入Web App的潜在风险。
现在,这是在HTML 5和PHP的上下文中呈现的,但是我不知道在将RoR与RinRuby gem一起使用时会有什么不同。开发人员应遵循哪些规则来避免使用此gem时常见的安全隐患?
答案 0 :(得分:1)
从源代码判断(not updated for 2 years(!))RinRuby似乎也没有提供任何类型的注入隔离 - 裸骨eval是通往地狱的门户,他们说:))
因此,你可以依靠OWASP guidelines通过仔细验证,参数化和输入白名单来避免注入。考虑到上述解析数字的怪癖,您必须将输入限制为合理的间隔。
只是我的2美分......