小贝子编程

多个Rails应用程序中存在RJS泄漏漏洞



我在一篇关于多个Rails应用程序中的RJS泄漏漏洞的博客文章中遇到了以下问题。Mike Hartl的书使用了RJS。

使用RJS有危险吗。问题是我链接的博客文章缺乏细节,我不明白。有人能详细解释一下问题是什么吗?

关于安全漏洞的博客条目必须在告诉内部人员足够多的信息来修复(或利用)问题,同时至少不要告诉脚本孩子足够多的话,让他们成为黑客。

这篇文章谈到了自动扩展表单authentication_tokens的js.erb文件,以及当使用Accepts=text/javascript的HTTPs时自动将所有数据转储到js中的操作。入门级Rails不应该做这两件事,所以如果发布者已经将问题升级到Rails的生命周期中,并且他们没有按下紧急按钮,那么你可能不需要担心

相关内容

  • 没有找到相关文章

最新更新


热门标签:

javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium