最近,high-profile security vulnerability in Rails解释了在Ruby应用程序中解析用户提供的YAML的潜在危险。在Ruby中是否有与yaml.safe_load相当的功能?
快速谷歌搜索显示Python's YAML library包括一个safe_load
方法,它将只反序列化“简单的Python对象,如整数或列表”,而不是任何任意类型的对象。
Ruby是否有等价物?有没有什么方法可以安全地接受Ruby应用程序中的YAML输入,而无需手动编写自定义分析器?
感谢您的建议!你可以看到我按照你的建议做了,[把它放在GitHub上](https://github.com/dtao/safe_yaml)。 –