0
Ruby on RailsアプリケーションでFCKEditorを使用しています。ユーザーはFCKEditorを使用してブログ投稿を追加します。FCKEditor with Railsセキュリティの脆弱性
はは、それから私は、ユーザーが直接パラメータでリクエストを投稿し、いくつかのJavaScriptを含むブログ記事本文を設定場合、私はFCKEditorのは、任意のJavaScriptコードをエスケープするが、何を知っている
@blog.body.html_safe
を使用してブログ記事を表示します。これはセキュリティ脆弱性の可能性があります。
Railsで安全にFCKEditorを使用するにはどうすればよいですか?
html_safeは関係なく、FCKEditorのが何をしているかの、すでにJavaScriptをエスケープする必要がありますか?潜在的な脆弱性としてあなたが目にするものの詳細を提供できますか? –
ジョーが正しいです、あなたは本当にセキュリティを行うためにFCKEditorに頼っていません、html_safeはそれを何にするのですか?さらに、FCKEditorが古くなっているので、CKEditor(FCKEditorの新バージョン)に移行することを真剣に検討する必要があります。 –
Joe、html_safeはjavascriptをエスケープしません。 –