Rails アプリケーションで .js.erb ファイルをレンダリングしています����。このファイルでは�����、選択ボックスのオプションを更新しています����。
最も重要なことは����、XSS 安全な方法で実行することです。このスタック オーバーフロー ソリューションに基づいて����、OWASP DOM ベースの XSS 防止チートシートを參照して、次の方法で選択ボックスのオプションを更新します����。
1つ試してみる
リーリー
- 問(wèn)題: blog.name
の表示テキストは HTML エンコードされています。たとえば�、「Johnson & Johnson」のテキストは「Johnson & Johnson」となります��。アポストロフィなどの他の特殊文字にも同じ表示の問(wèn)題が発生します��。
2 つ試してみる
Rails に
html_safe メソッドがあることは知っていたので�����、それを使ってみました。 "<%= blog.name %>"; を " < ;%= blog.name.html_safe %>";�����。
- 問(wèn)題: blog.name
を alert("Gotcha"); に設(shè)定して XSS をテストすると����、次のエラーが表示されます: option at all has更新されていません。結(jié)局のところ�����、問(wèn)題は��、このコンテキストで html_safe を使用すると��、アプリケーションが二重引用符をどうすればよいのかわからないことのようです��。
3 つ試してみる
この方法は
効果的だと思われます����。オプションが更新され、表示テキストは正常に機(jī)能しますが、表示テキスト alert("gotcha"); を持つオプションはテキストとして表示されるだけで����、コードとして実行されません。
リーリー
質(zhì)問(wèn): - これが安全かどうかわかりません��。 j (
escape_javascript のエイリアス) は安全ではないという記事を見(jiàn)たので����、よくわかりません。
安全かつテキストを正しく表示する方法で����、
.js.erb
テンプレートから選択オプションを更新する方法が不明です。
![[Web フロントエンド] Node.js クイック スタート](https://img.php.cn/upload/course/000/000/067/662b5d34ba7c0227.png)
