根据Brakeman的说法,为什么这个XSS呢?

时间:2015-01-26 20:37:00

标签: ruby-on-rails brakeman

有人可以向我解释为什么这是一个安全问题吗?

= link_to new_locale.to_s, params.slice(:id, :reader_id, :screen_type).merge(locale: new_locale)

我正在尝试为我的项目添加一个简单的部分,以便能够在语言之间切换。我真的不希望这个部分必须与每个控制器交互或将用户切换到不同的页面或必须知道所有可能的有效参数。

1 个答案:

答案 0 :(得分:1)

我对源进行了快速传递,我怀疑以下其中一项是触发它:

  1. 您正在为.to_s的第一个参数调用link_to,从而导致传入html_safe字符串。
  2. 用户输入直接传递给link_to,我认为这是误报。

    3. 您可以自己查看the source for the link_to XSS tests in Brakeman以进一步深入挖掘。

相关问题
最新问题