link_to href 中的不安全参数值
Unsafe parameter value in link_to href
我已将以下行添加到模板文件
link_to("CSV", params.merge(:action => "list", :format => :csv, :filename => filename)
安全评估工具显示警告,存在与 this.I 相关的交叉脚本漏洞需要知道
1)为什么会出现这样的漏洞?
2)这个问题的解决方案是什么?
我认为没有必要将 :format
和 :filename
合并到参数中。
这将导致两大并发症。
- 有人可以修改查询字符串,为安全漏洞留下大门。
- 在运行时拥有用户定义的符号并将它们与参数合并,也为 DoS(拒绝服务)攻击留下了一道门。
(您可以google对这些问题进行详细的解释)
关注你可以做什么来解决这个问题
link_to("CSV", :action => "list", :format => :csv, :filename => filename)
或者如果它在其他控制器中
link_to("CSV", :controller => "controller_name", :action => "list", :format => :csv, :filename => filename)
这可能会帮助您解决问题。
祝你好运。
我已将以下行添加到模板文件
link_to("CSV", params.merge(:action => "list", :format => :csv, :filename => filename)
安全评估工具显示警告,存在与 this.I 相关的交叉脚本漏洞需要知道
1)为什么会出现这样的漏洞? 2)这个问题的解决方案是什么?
我认为没有必要将 :format
和 :filename
合并到参数中。
这将导致两大并发症。
- 有人可以修改查询字符串,为安全漏洞留下大门。
- 在运行时拥有用户定义的符号并将它们与参数合并,也为 DoS(拒绝服务)攻击留下了一道门。
(您可以google对这些问题进行详细的解释)
关注你可以做什么来解决这个问题
link_to("CSV", :action => "list", :format => :csv, :filename => filename)
或者如果它在其他控制器中
link_to("CSV", :controller => "controller_name", :action => "list", :format => :csv, :filename => filename)
这可能会帮助您解决问题。
祝你好运。