我正在检查我正在开发的Web应用程序中的XSS漏洞。这个Rails应用程序使用h方法来清理它生成的HTML。
然而,它确实使用了jQueryUI自动完成小部件(最新版本中的新增功能),我无法控制生成的HTML,我看到标签没有在那里转义。在显示之前立即通过JSON请求检索提供给自动完成的数据。我
的可能性:
1)自动填充功能可以选择清理我不知道的事情
2)有一种简单的方法可以在我不知道的jQuery中执行此操作
3)有一种简单的方法可以在我不知道的Rails控制器中执行此操作(我不能使用h方法)
4)禁止<模型中的符号
建议吗?
答案 0 :(得分:1)
你是否控制了加入插件的JSON?如果是这样,最好的办法就是在使用CGI::escapeHTML将数据编码为JSON之前正确转义数据。
这样,您的数据将被清理,您不必担心XSS。