Fork me on GitHub

Keep Learning Conhecimento nunca é o bastante

Postado em
30 January 2008 @ 0:45

Tag(s)
Rails, Segurança

Auto-escaping de HTML em sua aplicação Rails

Um ataque muito comum contra aplicações Web ultimamente é o cross-site scripting (XSS).

Uma das formas de executar esse ataque é aproveitar campos que aceitam a entrada de HTML para inserir links para código malicioso, geralmente em JavaScript ou VBScript. Desta forma, o script de um domínio não confiável é executado no contexto de um site confiável.

Luke Francl, do Rail Spikes, desenvolveu o plugin xss_terminate, baseado no plugin acts_as_sanitized. Este plugin trata todos os campos dos modelos de sua aplicação Rails para evitar a inserção de código malicioso. Desta forma, o uso do método h() em suas views torna-se desnecessário. O plugin é configurável, permitindo que o desenvolvedor defina campos que não devem ser tratados.

No mesmo post, Luke ainda fala sobre o uso de Erubis para aumentar a segurança e aponta outras alternativas.


Nenhum comentário até agora


Nenhum comentário ainda. Você pode ser o primeiro!

Deixe um comentário