爲什麼使用Rails獲得跨站腳本警告？

在我的Rails應用程序的視圖模板中，我必須爲CoffeeScript變量分配一個實例值。我做了這樣的事情：爲什麼使用Rails獲得跨站腳本警告？

:coffeescript 
44 @selected_tab = "#{@tab}"

它工作正常，但我得到一個跨站點腳本警告：

Unescaped parameter value (around line 44) 
find_and_preserve(Haml::Filters::Coffee.render_with_options("@selected_tab = "#{params[:tab]}" ", _hamlout.options))

來源

2013-05-02 Anil Maurya

我覺得你會是最好不要直接插入變量到您的CoffeeScript 。

查閱這些方法：http://railscasts.com/episodes/324-passing-data-to-javascript

來源

2013-05-02 13:45:20 mscccc

，一種方法顯示了使用腳本，這就是我是什麼這樣做。 – 2013-05-03 07:11:24

第一個看起來很不安全。這一切都取決於逃跑是否是上下文。 – Erlend 2013-05-03 13:23:08

逃逸必須是上下文。在這個博客系列有事情如何出錯的一些例子：http://erlend.oftedal.no/blog/?blogid=91

我建議你閱讀OWASP XSS預防小抄：https://www.owasp.org/index.php/XSS_(Cross_Site_Scripting)_Prevention_Cheat_Sheet

的3種方法

來源

2013-05-03 13:21:19 Erlend

那麼，有什麼選擇？我應該如何分配變量？ – 2013-05-06 04:44:32

爲什麼使用Rails獲得跨站腳本警告？

回答

相關問題