0
Ich verwende FCKEditor in meiner Ruby on Rails-Anwendung. Benutzer fügen Blog-Posts mithilfe von FCKEditor hinzu.FCKEditor mit Rails-Sicherheitsanfälligkeit
Dann zeige ich Blog-Beiträge mit
@blog.body.html_safe
Ich weiß FCKEditor beliebigen JavaScript-Code zu entkommen, aber was ist, wenn ein Benutzer eine Anforderung mit direkten Parametern und Einstellung Blog-Post Körper darunter auch einige Javascripts geschrieben. Dies kann Sicherheitsanfälligkeit sein.
Eine Idee, wie kann ich FCKEditor mit Rails sicher verwenden?
html_safe sollte bereits Javascript werden entkommen, unabhängig davon, was FCKEditor tut? Könnten Sie mehr Einzelheiten zu Ihrem potenziellen Exploit bereitstellen? –
Joe hat Recht, Sie verlassen sich wirklich nicht auf FCKEditor, um die Sicherheit zu tun, html_safe ist was das tut. Darüber hinaus ist FCKEditor veraltet, Sie sollten ernsthaft in Erwägung ziehen, zu CKEditor zu wechseln (Neue Version von FCKEditor, sie änderten den Namen aus offensichtlichen Gründen). –
Nein Joe, html_safe nicht Javascript entkommen. –