[英]How to fix Dangerous send security warning in rails generated by brakeman?
我在Rails 4.2的应用程序中使用了刹车系统进行安全扫描。 它以“ 高”的信心报告,警告类型为“ 危险发送” 。 以下是我面临问题的控制器方法:
class AccountsController < ApplicationController
def new
@account_name = Rails.application.config.custom.accounts.send(params[:account_name]).name
@account_logo = Rails.application.config.custom.accounts.send(params[:account_name]).signup_logo
rescue
nil
end
end
请帮我。
通过用户输入直接调用方法(即通过params属性)是危险的安全威胁,通过解决此问题,我们必须在将其在send中调用之前将params列入白名单。
class AccountsController < ApplicationController
def new
method = params[:account_name] || :default_method
if ["method1", "method2", "method3"].include?(method)
@account_name = Rails.application.config.custom.accounts.send(method).name
@account_logo = Rails.application.config.custom.accounts.send(method).signup_logo
end
rescue
nil
end
end
如何修复刹车员生成的导轨中的跨站点脚本安全警告?
[英]How to fix Cross Site Scripting security warning in rails generated by brakeman?
Brakeman Rails安全扫描器:如何添加我们自己的自定义检查
[英]Brakeman Rails security scanner: how to add our own custom check
Brakeman-Ruby on Rails-'RatyRate'gem控制器上的远程代码执行(安全警告)
[英]Brakeman - Ruby on Rails - Remote Code Execution (Security Warning) on 'RatyRate' gem controller
带参数 [:controller] 的动态 link_to 路径:Brakeman Dangerous Send
[英]Dynamic link_to path with params[:controller]: Brakeman Dangerous Send
访问Oracle视图/函数时的Rails Brakeman SQL注入警告
[英]Rails Brakeman SQL injection warning while accessing an oracle view/function
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.