Ruby on rails 链接到href中的参数值不安全_Ruby On Rails_Ruby_Ruby On Rails 3_Xss_Erb

Ruby on rails 链接到href中的参数值不安全

ruby-on-rails ruby ruby-on-rails-3

Ruby on rails 链接到href中的参数值不安全,ruby-on-rails,ruby,ruby-on-rails-3,xss,erb,Ruby On Rails,Ruby,Ruby On Rails 3,Xss,Erb,我已将以下行添加到模板文件中 link_to("CSV", params.merge(:action => "list", :format => :csv, :filename => filename) 一个安全评估工具显示警告，存在与此相关的跨脚本漏洞。我需要知道 1）为什么会出现这样的漏洞？ 2）这个问题的解决方案是什么？我认为没有必要将:format和:filename合并到参数中。这将导致两大并发症有人可以修改查询字符串，为安全漏洞打开大门在运行时使用用户定

我已将以下行添加到模板文件中

link_to("CSV", params.merge(:action => "list", :format => :csv, :filename => filename)

一个安全评估工具显示警告，存在与此相关的跨脚本漏洞。我需要知道

1）为什么会出现这样的漏洞？

2）这个问题的解决方案是什么？

我认为没有必要将

:format

和

:filename

合并到参数中。这将导致两大并发症

有人可以修改查询字符串，为安全漏洞打开大门

在运行时使用用户定义的符号并将其与参数合并，也为DoS（拒绝服务）攻击留下了机会

（您可以在谷歌上搜索这些问题的详细说明）

专注于你能做些什么来解决这个问题是非常重要的

link_to("CSV", :action => "list", :format => :csv, :filename => filename)

或者如果它在其他控制器中

link_to("CSV", :controller => "controller_name", :action => "list", :format => :csv, :filename => filename)

这可能会帮助您解决问题

祝你好运