■ [Comp] [Security] 自動quoteつきERBの実験 高木さんの日記で、 そうすると、「h」付きと「h」無しを逆にしたらよかったのにと思えてくる。 ということだったので、ERB を改造してサクッと作ってみた。 rerb。 とりあえず、h の意味を逆転させてしまうと(hを流用してしまうと)それはそれで 混乱すると思ってそれは避けたのだが、高木さんは「hの逆」を命名してくれなかったので、 とりあえず "raw html" ということで r を使った。何かいいアイディアはないものか。 ついでに、rerb-cgi という名前で起動された場合は CGI モジュールを内包して、 ローカル変数 cgi, header 経由で引数や出力ヘッダにアクセスできるようにしてみた。 そういうわけで、test.ehtml は (rerb-cgi という実行ファイルを用意すれば) 単独でcgiとして
I like Ruby. (07-05) 借り物人生 (07-05) 通販生活 (07-05) I like iPod (05-24) RWiki (05-14) Download (05-14) ソフトウェア・シンポジウム 2003 (04-28) ruby-amazonでAmazonWebService (04-16) DI ary (04-05) KoyaなTropy (03-29) <%=h %>が自動的に行われるってどういうことだろう。 なんで? おおいわさんの 自動quoteつきERBの実験などの 記事を受けて咳も考えてみました。 ところで、こういった処理は「quote」と呼ぶものなのですか? ERB for HTML CVSのruby-1.9、ruby-1.8*1に入ってるerb.rbと一緒に使う、ちょっとした実験スクリプト。 (このためにerb.rbに新しいインターフェイス
Rails のアプリケーションで DB や HTTP リクエストから取ってきた文字列を rhtml で出力するときに h メソッドなどでエスケープしないとエラーを出すというプラグインを作ってみました。実装方法としては Ruby の Object#tainted? メソッドを使って文字列がエスケープ処理を通過しているかどうか判定するという単純なものです。自動的にエスケープ処理を入れるわけではないので既存のアプリケーションと互換性を保ちつつ、XSS などを引きおこす Script Insertion を許してしまう可能性をかなり下げられると思います。README: http://wiki.rubyonrails.org/rails/pages/Safe+ERBダウンロード: http://www.kbmj.com/users/shinya/rails/safe_erb-0.1.zipRuby
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く