跨腳本攻擊(Ruby on rails<電子商務實戰摘錄-->1>)

fireflyman

如果允許用戶向網站遞交內容,就必須考慮到會有人遞交一些惡意的內容(通常是以JavaScript形式).因此絕對不能將用戶遞交的內容直接顯示在瀏覽器中.Rails有一個快捷方法h(html_escape方法的別名),可以將所有輸出內容轉義:

    <%= 好@user.first_name %>

     比如,如果first)name是>George<,就會被輸出成<div class="quote_title">引用