Достаточно ли помощника simple_format в Rails для защиты от xss?

Я прочитал и проверил, что simple_format позволяет использовать определенные теги html.

Это достаточно безопасно, чтобы снова защитить xss? (при условии, что я не возражаю против того, чтобы пользователь поместил html, чтобы сделать свой текст красивым) Может ли это привести к xss? или мне следует придерживаться метода h?


ruby-on-rails-3 xss html-sanitizing
person Nick Ginanto    schedule 03.12.2012    source источник
comment
Вы не можете одновременно использовать метод h и использовать simple_format. Они взаимоисключающие.   -  person meagar    schedule 03.12.2012
comment
Я хочу дезинфицировать, чтобы не допустить xss, но я также хочу разрешить определенные теги (в частности, сохранить строку, разбивающую пользовательский ввод).   -  person Nick Ginanto    schedule 03.12.2012
comment
Затем используйте simple_format. Как указано в документе, он пытается дезинфицировать свой ввод.   -  person meagar    schedule 03.12.2012
comment
вот в чем вопрос.. защищает ли он от xss?   -  person Nick Ginanto    schedule 03.12.2012
comment
Это первое, что указано в документации.   -  person meagar    schedule 03.12.2012

Ответы (1)


arrow_upward
1
arrow_downward

Похоже, что в rails 4.0.0 и 4.0.1 была уязвимость, которая теперь устранена, так что это должно быть безопасно. Вот ссылка на проблему: https://groups.google.com/forum/#!topic/ruby-security-ann/5ZI1-H5OoIM

person jsnelgro    schedule 05.05.2016