Webのセキュリティ努力のゴールにあるのは「絶望」のみ
ということで遊びで作ってるRailsアプリもちゃんと対策しようと思いました。
で、Safe ERBを入れようとすると。。。
mongrelだと使えない。わざわざWebrickを使うのもメンドウなんです。
探してみたらお便利プラグインありました。
入れただけで、勝手にマークアップをはずします。何もしないでOK。すばらしい。
TechCrunchで挙がっていた例のこいつ
'<script>alert('y0');</script>'
が、こう
'alert('y0');'
なります。
設定すれば一部のカラムだけ除外とかもできるみたいです。リッチなテキストにしたくなったら、そうします。
xss_terminate
ここで見つけました。
Auto-escaping HTML with Rails
No comments:
Post a Comment