我们的公司已经过安全厂商的审核,该厂商已向我们举报了问题。当前,我们的解决方案允许最终用户将脚本注入到对象名称中。例如
user.name = '<script>alert(1)</script>'
我并不完全熟悉SQL中的安全性问题,但是欢迎任何Pointerson对此问题的严重性或缓解的方式
答案 0 :(得分:-2)
在导轨中有一个关于注入和固定导轨的好部分:https://guides.rubyonrails.org/security.html#injection您应该首先检查一下。
从rails 2.3.6左右开始,您无需执行任何操作,因为浏览器中显示的所有内容默认情况下均已转义。在早期版本中,您必须使用h()方法手动转义所有内容。您的应用程序使用哪个版本的Rails?