1

我记得我在纽约参加的一些聚会上,贝尔实验室的人正试图解决 R 在网络上的潜在安全问题。如果 R 会话为用户保持活动状态,则存在将代码注入 Web 应用程序的潜在风险。

现在,这是在 HTML 5 和 PHP 的上下文中提出的,但我看不出将 RoR 与 RinRuby gem 一起使用时会有什么不同。作为开发人员,我们是否应该遵循一套规则来避免使用这个 gem 时常见的安全陷阱?

4

1 回答 1

1

一般来说,R 在构建时并未考虑到安全性(另请参阅Jeroen Ooms 在 arXiv 上的此预印本)。它还因对数字的片状解析而臭名昭著。

从源代码(2 年没有更新(!))来看,RinRuby 似乎也没有提供任何与注入的隔离 -eval他们说,准系统是通往地狱的门户:)

因此,您有责任遵循例如OWASP 指南,通过仔细验证、参数化和将输入列入白名单来避免注入。考虑到上述解析数字的怪癖,您必须将输入限制在合理的间隔内。

只是我的2美分...

于 2013-06-02T13:02:28.200 回答