Ruby on Rails 3.0.6 发布,请立即升级!!!

来源: OSCHINA
编辑: 红薯
2011-04-06

Rails 3.0.6 包含很重要的安全补丁,请立即更新!!!

Rails 3.0.6 之前的版本包含一个 XSS 漏洞,该漏洞存在于 auto_link 方法,例如:

<%= auto_link(params[:content]) %>

如果 content 参数包含一些 javascript 代码,那么该代码不会被转义。

我该怎么办?

1. 立即升级到 Rails 3.0.6
2. 如果你无法升级,请应用此补丁
3. 如果你无法升级,也无法安装补丁,那么使用下面的方法

<%= sanitize(auto_link(params[:content])) %>

如果你信任输入的内容

<%= raw(auto_link(params[:content])) %>

展开阅读全文
0 收藏
分享
加载中
更多评论
0 评论
0 收藏
分享
返回顶部
顶部