你应该基于你所期望并希望包含在FTP链接中的
params元素创建一个新的哈希表,然后使用
它来合并你的其他参数。
你现有的方法允许我通过修改查询字符串将任何内容添加到那个
FTP链接中,这会导致安全漏洞。通过为
params.merge(...中的
params构建一个哈希表,你实际上是在为要在渲染模板中使用的预期查询字符串组件设置白名单。
作为一个
GET示例,如果你期望一个URL,例如:
/some/path?opt1=val1&opt2=val2
您的控制器操作可能会执行以下操作:
@cleaned_params = { opt1: params[:opt1], opt2: params[:opt2] }
@cleaned_params.merge! action: :ftp, archive: archive, recipient: :company
接着将@cleaned_params传递给link_to函数
= link_to "FTP", @cleaned_params
这样,如果我手动输入URL:
/some/path?opt1=val1&opt2=val2&maliciousopt=somexss
params[:maliciousopt]永远不会出现在您的视图中的FTP link_to中。
对于POST请求,同样的行为也适用,只是在提交表单之前我可能会添加一些字段以进行恶意操作。
<input type="hidden" name="maliciousopt" value="somexss" />
