首页 网页制作网络编程脚本专栏数据库网站运营网络安全平面设计CMS教程

ruby中的双等号==问题详解

所属分类: 脚本专栏 / ruby专题 阅读数: 1770
收藏 0 赞 0 分享

前两天在写代码的时候,突然收到警告说项目代码中存在 XSS 漏洞,遂立即根据报告的 URL 排查页面代码,虽然很快就修复了,而且同样问题的讨论两年前就有了,一般来说相对有经验的同学也应该都知道这个点,但是还是觉得有必要写出来,再次提醒一下其他小伙伴,避免踩坑。

问题根源

其中,在找到的漏洞出现的地方,都存在类似以下这样的 slim 代码:

input class='xxx' value==params[:account]

问题就出在双等号 == 上,因为在 slim 跟 ERB 模板(其他模板比如 HAML 之类的就不清楚了)中,双等号其实是 Rails 的 raw 这个 helper 方法的缩写

To insert something verbatim use the raw helper rather than calling html_safe:
<%= raw @cms.current_template %> <%# inserts @cms.current_template as is %>
or, equivalently, use <%==:
<%== @cms.current_template %> <%# inserts @cms.current_template as is %>

也就是说上面的代码等同于:

input class='xxx' value=raw(params[:account])

其中 raw 方法在 Rails 文档中的解释是这样子的:

This method outputs without escaping a string. Since escaping tags is now default, this can be used when you don't want Rails to automatically escape tags. This is not recommended if the data is coming from the user's input.

大概意思就是,这个方法将会跳过对传入的字符串进行标签过滤以及其他处理,直接将字符串输出到 HTML 中。
所以到现在原因就很清晰了,因为不小心在代码里多加了一个等号,变成了双等号,导致将会直接把用户的输入输出到待渲染的 HTML 中,在不自知的情况下留下了 XSS 漏洞。于是乎,修复方案仅需去掉一个等号即可:

input class='xxx' value=params[:account]

这样,Rails 就能继续自动过滤输入的 :account 的参数并且自动过滤恶意内容了。

raw、String#html_safe 以及 <%== %>
在查看 raw 方法的文档时,顺便看了其源码,极其简单,只有一行:

# File actionview/lib/action_view/helpers/output_safety_helper.rb, line 16
def raw(stringish)
 stringish.to_s.html_safe
end

raw 只是先确保将 stringish 参数转化为字符串,然后调用了 String#html_safe 方法而已。而且在 String#html_safe 的文档中,同样反复强调慎重使用这两个方法:

It will be inserted into HTML with no additional escaping performed. It is your responsibilty to ensure that the string contains no malicious content. This method is equivalent to the raw helper in views.

所以,可以总结一下,以下三种写法的代码都是等价的,都是不安全的:

input class='xxx' value==params[:account]
input class='xxx' value=raw(params[:account])
input class='xxx' value=params[:account].html_safe

那在切实需要输出包含 HTML 内容比如富文本编辑器编辑的内容时,如何保证安全?
方案很简单,只需要使用文档中推荐的 sanitize helper 方法:

It is recommended that you use sanitize instead of this method(html_safe).
(#sanitize)Sanitizes HTML input, stripping all tags and attributes that aren't whitelisted.

或者使用一些其他第三方的 gem 用来做过滤处理。

总结

  1. 不要使用双等号缩写的方式,以避免其他人(比如项目里的 Rails 新手)在不了解的情况下照着滥用;
  2. 尽可能不用 raw helper 或者 String#html_safe 方法,尽可能使用 #sanitize;
  3. 多借助工具进行自动扫描,比如 brakeman,能够快速高效检测出包括 XSS 漏洞在内的多种安全隐患。
更多精彩内容其他人还在看

ruby中的双等号==问题详解

Ruby里面有4种比较方法,equal?, eql?, ==, ===,而且在不同的类里面表现的很不一样。在使用的时候也特别容易搞糊涂。 本文先给大家讲述一下==号的用法及使用中应该注意的地方
收藏 0 赞 0 分享

Ruby里4种比较函数(equal?, eql?, ==, ===)详解

本文给大家详细介绍了Ruby中的4种比较函数(equal?, eql?, ==, ===)的用法,并用具体示例进行了讲解,希望对大家学习ruby能够有所帮助。
收藏 0 赞 0 分享

Ruby on Rails在Ping ++ 平台实现支付

本文给大家分享的是使用Ruby on Rails在Ping ++ 平台实现支付功能的代码,非常的实用,有需要的小伙伴可以参考下。
收藏 0 赞 0 分享

Ruby on Rails基础之新建项目

Ruby on Rails 是一个可以使你开发,部署,维护 web 应用程序变得简单的框架。下面我们就来看看如何简单便捷的使用这一框架,本系列文章将一一为大家揭秘
收藏 0 赞 0 分享

Ruby语法笔记

本文给大家记录的是本人学习ruby之后所记录下来的部分语法知识,分享给有需要的小伙伴,希望对大家能够有所帮助。
收藏 0 赞 0 分享

Ruby的安装与运行

本文给大家分享的是ruby的基础知识,是学习ruby必须掌握的ruby的安装和运行以及ruby的文档,非常实用,有需要的小伙伴可以参考下。
收藏 0 赞 0 分享

CentOS7下搭建ruby on rails开发环境

听说rails是一个比较流行的快速开发框架,对于我这个web不熟悉的人来说,那是极好的!可以快速上手,又能真正了解服务器端的各种,所以rails搞起来。不过一个完整的开发环境搭建过程完成后,真的只能用各种坑来形容~
收藏 0 赞 0 分享

Windows下安装配置Ruby的debug工具ruby-debug-base19

这篇文章主要介绍了Windows下安装配置Ruby的debug工具ruby-debug-base19的方法,同时讲解了Ruby的IDE RubyMine中的相关配置方法,需要的朋友可以参考下
收藏 0 赞 0 分享

Windows下Ruby+Watir自动化测试的环境搭建及数据读取

这篇文章主要介绍了Windows下Ruby+Watir自动化测试的环境搭建及数据读取,Watir是一个使用Ruby实现的开源Web自动化测试框架,需要的朋友可以参考下
收藏 0 赞 0 分享

Ruby中使用设计模式中的简单工厂模式和工厂方法模式

这篇文章主要介绍了Ruby中使用设计模式中的简单工厂模式和工厂方法模式的示例,这两种模式经常被用于Ruby on Rails开发的结构设计中,需要的朋友可以参考下
收藏 0 赞 0 分享
查看更多

网络赚钱

更多

站长故事

更多
建站极客
合作伙伴
在线工具
建站极客移动版
聚合全网技术文章,根据你的阅读喜好进行个性推荐
© 2012 - 2020 zhanzhang360.cn Some Rights Reserved.
沪ICP备13040166号-18