link_to href 中的不安全参数值

Unsafe parameter value in link_to href

我已将以下行添加到模板文件

link_to("CSV", params.merge(:action => "list", :format => :csv, :filename => filename)

安全评估工具显示警告,存在与 this.I 相关的交叉脚本漏洞需要知道

1)为什么会出现这样的漏洞? 2)这个问题的解决方案是什么?

我认为没有必要将 :format:filename 合并到参数中。 这将导致两大并发症。

  1. 有人可以修改查询字符串,为安全漏洞留下大门。
  2. 在运行时拥有用户定义的符号并将它们与参数合并,也为 DoS(拒绝服务)攻击留下了一道门。

(您可以google对这些问题进行详细的解释)

关注你可以做什么来解决这个问题

link_to("CSV", :action => "list", :format => :csv, :filename => filename)

或者如果它在其他控制器中

link_to("CSV", :controller => "controller_name", :action => "list", :format => :csv, :filename => filename)

这可能会帮助您解决问题。

祝你好运。