Ich rendere eine .js.erb Datei in einer Rails-Anwendung. In dieser Datei aktualisiere ich die Optionen eines Auswahlfelds.

Das Wichtigste ist, dass ich es XSS-sicher mache. Basierend auf dieser Stack Overflow-Lösung, die auf das OWASP DOM-basierte XSS Prevention Cheat Sheet verweist, aktualisiere ich die Optionen des Auswahlfelds wie folgt:

Versuchen Sie es mit 1

// app/views/blogs/blogs_select_listing.js.erb

// 删除所有选项
$('#blog_select_box').children().remove();

// 遍历@blogs集合，将每个博客项目作为选项添加到选择框中
<% @blogs.each do |blog| %>
  var opt = document.createElement("option");
  opt.setAttribute("value", "<%= blog.id %>");
  opt.textContent = "<%= blog.name %>";
  $('#blog_select_box').append(opt);
<% end %>

• Problem: blog.name的显示文本被进行了HTML编码。例如，"Johnson & Johnson"的文本显示为："Johnson & Johnson". Andere Sonderzeichen wie Apostrophe haben ebenfalls das gleiche Anzeigeproblem.

Versuchen Sie es mit 2

Ich weiß, dass Rails eines hat html_safe方法，所以我尝试使用它：我将"<%= blog.name %>";更新为"<%= blog.name.html_safe %>";.

• Problem: Wenn ich bestanden habe blog.name设置为alert("Gotcha");来测试XSS时，它会出错：选项根本没有被更新。最终似乎问题是在这种上下文中使用html_safe, weiß die Anwendung nicht, was sie mit doppelten Anführungszeichen tun soll.

Versuchen Sie es mit 3

Diese Methode scheint zu funktionieren. Die Optionen wurden aktualisiert und der Text anzeigen funktioniert einwandfrei, während die Option mit Text anzeigen alert("gotcha"); nur als Text angezeigt und nicht als Code ausgeführt wird:

// app/views/blogs/blogs_select_listing.js.erb

// 删除所有选项
$('#blog_select_box').children().remove();

// 遍历@blogs集合，将每个博客项目作为选项添加到选择框中
$('#blog_select_box')
.html("<%= j options_from_collection_for_select(@blogs, :id, :name) %>");

• Frage: Ich bin mir nicht sicher, ob das sicher ist. Ich bin mir nicht sicher, weil ich diesen Artikel gesehen habe, in dem es heißt, dass Aliase für j（escape_javascript) unsicher sind.

Es ist unklar, wie ich die Auswahloptionen der .js.erbVorlage auf eine Weise aktualisieren kann, die sowohl sicher ist als auch den Text korrekt anzeigt.