Ruby on rails 链接到href中的参数值不安全
我已将以下行添加到模板文件中Ruby on rails 链接到href中的参数值不安全,ruby-on-rails,ruby,ruby-on-rails-3,xss,erb,Ruby On Rails,Ruby,Ruby On Rails 3,Xss,Erb,我已将以下行添加到模板文件中 link_to("CSV", params.merge(:action => "list", :format => :csv, :filename => filename) 一个安全评估工具显示警告,存在与此相关的跨脚本漏洞。我需要知道 1) 为什么会出现这样的漏洞? 2) 这个问题的解决方案是什么?我认为没有必要将:format和:filename合并到参数中。 这将导致两大并发症 有人可以修改查询字符串,为安全漏洞打开大门 在运行时使用用户定
link_to("CSV", params.merge(:action => "list", :format => :csv, :filename => filename)
一个安全评估工具显示警告,存在与此相关的跨脚本漏洞。我需要知道
1) 为什么会出现这样的漏洞?
2) 这个问题的解决方案是什么?我认为没有必要将
:format
和:filename
合并到参数中。
这将导致两大并发症
link_to("CSV", :action => "list", :format => :csv, :filename => filename)
或者如果它在其他控制器中
link_to("CSV", :controller => "controller_name", :action => "list", :format => :csv, :filename => filename)
这可能会帮助您解决问题
祝你好运