Carlos Brando

Nome do Jogo

Pelo amor de Deus não use strip_tags, strip_links e nem sanitize

Encontrei este post no Ruby on Rails Security Blog.

O autor aqui cita três métodos que usamos constatemente e como eles representam uma falha de segurança no Rails.

Veja estes dois exemplos abaixo:

[source:ruby] strip_tags(“sdfasdf<script>alert(‘hello’)</script>”) [/source]

O código acima vai retornar: “sdfasdf<script>alert(‘hello’)</script>”

[source:ruby] strip_links(”Test”) [/source]

E este código retorna “<a xhref=’http://www.attacker.com/’>Test</a>”

Segundo o autor do post, este problema já foi reportado mas os métodos não devem ser alterados até a versão 2.0 do Rails. Por isto, cuidado ao usá-los crianças…

Comments