0
Я использую FCKEditor в своем приложении Ruby on Rails. Пользователи добавляют сообщения в блоге с помощью FCKEditor.Уязвимость FCKEditor с защитой Rails
Затем я показываю сообщения в блоге с помощью
@blog.body.html_safe
Я знаю FCKEditor убегает любой Javascript кода, но что если пользователь отправил запрос с прямыми параметрами и настройками блог после тела, включая некоторые JavaScripts. Это может быть уязвимость безопасности.
Любая идея, как я могу использовать FCKEditor с Rails в безопасности?
html_safe следует избежать JavaScript уже, независимо от того, что делает FCKEditor? Не могли бы вы предоставить более подробную информацию о том, что вы видите в качестве потенциального эксплойта? –
Джо прав, вы действительно не полагаетесь на FCKEditor для обеспечения безопасности, html_safe - это то, что делает это. Кроме того, FCKEditor устарел, вам следует серьезно подумать о переходе на CKEditor (новая версия FCKEditor, они поменяли название по понятным причинам). –
Нет Joe, html_safe не избегает javascript. –