Rails与web安全［Web安全大家谈］

Rails与web安全［Web安全大家谈］2011-11-09 51cto博客 blackanger据说现在一台pc（Windows系统）上网的时候，如果没有任何杀毒软件防火墙，那么十分钟之内就会被沦陷为病毒之城。为什么会如此呢？因为你上网的时候，可能有的网站会被植入病毒，植入木马什么的，网站的用户只要一登陆，如果没有任何防护措施，那么你的机器肯定会马上被攻陷了。当然了，网站也不是故意要挂病毒和木马给用户的，主要是有些站点在开发之初或上线之后都没有考虑过web安全的问题，以致于存在很多安全隐患，导致被恶意的Hacker所控制，从而发生上述一幕。那么该如何防范呢？

广告之后更精彩：

趋势科技，让Hacker病毒们，去死！

第一，对于普通用户来说，可以下载一些著名的安全软件来使用，比如趋势科技的WTP，网站管理员也可以使用趋势的防毒墙。但是我觉得，要解决根本，还是从站点开发之初来防范这些漏洞。当然，漏洞也是变化的，上线以后还是部署个趋势的防毒墙更保险。

＝。＝

身为一名Rails开发者，就说一下web安全十大漏洞和rails开发中该如何防范这些漏洞。

A1 - Cross Site Scripting （XSS）

这是攻击者利用在网站里嵌入javascript来进行获取受害人的cookie信息。

Rails2.0对XSS攻击的防范也得到增强，TextHelper#sanitize由黑名单改为了白名单实现。具体攻击方法在这里：http://www.rorsecurity.info/2007/05/01/cross- site-scripting-user-agent- injection-attack-methods/

有助于我们检测自己的项目。

rails策略：

1.在view里加入h方法，safeERB插件的作用ms不是为了帮助我们免除这一步。

2.用whitelist，刚才所说的rails2。0开启了这个方法TextHelper#sanitize.

3.在使用BlueCloth和RedCloth的时候，应该联合WhiteList来用，避免引发安全问题。

4。在Rails1.2.3版本之前，不要使用to_json方法，小心殆害！

A2 - Injection Flaws