我创建了一个iFrame组件,供人们集成到他们的网站中。在远程站点上加载页面时,需要从URL字符串传递iFrame的GET变量。在这种情况下,父页面将被调用为http://www.theirsite.com/tracking=12345,并且跟踪变量应该在页面呈现时写入iframe的远程页面上的html代码。
我为除rails之外的每种主要语言创建了代码版本。 PHP版本的代码如下所示。
作为一个完整的Rails新手,我希望有人可以为Rails生成类似的代码片段,其中XSS保护类似于htmlentities()。
我发布了人们抓取并复制到他们网站的代码。
... src="mysite.com?tracking=<?php echo htmlentities($_GET['tracking']); ?>" ...
答案 0 :(得分:1)
params哈希包含所有GET和POST变量的集合:
... src="mysite.com?tracking=<%= CGI::escape(params[:tracking]) %>" ...
CGI:escape()函数对URL的参数进行编码,可能有助于防止XSS攻击。
答案 1 :(得分:1)
如果您需要专门获取变量,您可以这样做:
... src =&#34; mysite.com?tracking =&lt;%= request.GET [&#34; tracking&#34;]%&gt;&#34;