10

Rails 应用程序中的模型有一个 url 列,用户可以在其中输入外部站点的地址。

网址显示在页面上。单击时,除了路由到该 url 之外,我还需要在应用程序中执行一些操作。所以我定义了一个控制器动作如下

#objects_controller.rb

def click
  @object = Object.find params[:id]
  # do some stuff
  respond_to do |format|
    format.html { redirect_to @object.url }
  end
end

并且在视图中

<%= 'click me', click_object_path @object %>

刹车手(如预期的那样)发出警告

High - Redirect - Possible unprotected redirect

通常对此的解决方案是添加only_path: true到重定向并且只允许在当前应用程序中进行重定向。但在这种情况下,所需的行为是导航到外部站点。

我的问题

  1. 我是否应该采取任何步骤来确保无法从 Object.url 列输入和激活恶意代码(或者换句话说,我的点击控制器操作是归档所需应用内操作和导航的最佳方式)?
  2. 如果这是正确的方法,有没有办法让 Brakeman 安静下来,以便不再报告这个特定问题?
4

1 回答 1

8

对于其他有类似问题的人,我向我的控制器添加了一些检查,以验证 @object.url 确实是格式正确的 url。

def click
  @object = Object.find params[:id]
  if @object.url =~ URI::regexp
    obj_url = URI.parse(@object.url)
  else
    obj_url = nil
  end
  # do some stuff
  respond_to do |format|
    format.html { redirect_to obj_url }
  end
end

和布雷克曼报告1 fixed warning。结果!

于 2016-05-01T03:38:49.447 回答