0
我在我的Ruby on Rails应用程序中使用了FCKEditor。用户使用FCKEditor添加博客文章。带有Rails安全漏洞的FCKEditor
然后我用
@blog.body.html_safe
显示博客文章,我知道FCKEditor的是逃避任何JavaScript代码,但如果用户发布直接的参数和设置的博客文章主体,包括一些JavaScript的要求是什么。这可能是安全漏洞。
任何想法如何使用FCKEditor与Rails安全?
html_safe应该已经被转义的javascript,不管是什么FCKEditor的是干什么的?你能否提供更多关于你认为潜在利用的细节? – 2012-03-29 13:50:26
乔是对的,你真的不是依靠FCKEditor来做安全,html_safe是什么。此外,FCKEditor已过时,您应该认真考虑转移到CKEditor(FCKEditor的新版本,他们因显而易见的原因更改了名称)。 – 2012-03-29 14:12:13
没有乔,html_safe不会转义javascript。 – 2012-04-01 13:16:32