前端之家

  1. 首页
  2. 问答

Rails 5 erb无法逃脱html

问答

在Rails 5.2.3 erb模板中:

<% input = "<script>alert('XSS')</script>" %>
<p><%= input %></p>

显示<script>alert('XSS')</script>而不是&gt ..等等

不是应该用来防止反射的XSS攻击吗? 如果从params [:input]中检索输入,则会出现同样的问题

原始文件在html中输出:

Rails 5 erb无法逃脱html

gshj2003 回答:Rails 5 erb无法逃脱html

需要查看源ctrl + u 如Gabor建议的

erbruby-on-rails-5.2xss
本文链接:https://www.f2er.com/2933611.html

大家都在问