Skip to content

B
Brakeman

李少辉-开发者 / Brakeman

通知 1
Star 0
Fork 0
B
Brakeman

前往新版Gitcode,体验更适合开发者的 AI 搜索 >>

切换分支/标签
  1. 18 12月, 2012 1 次提交
  3. 29 11月, 2012 1 次提交
  5. 09 11月, 2012 1 次提交
  7. 30 9月, 2012 1 次提交
  9. 14 9月, 2012 1 次提交
  11. 12 9月, 2012 1 次提交
  13. 01 9月, 2012 1 次提交
  15. 31 8月, 2012 2 次提交
  17. 11 8月, 2012 1 次提交
  19. 10 8月, 2012 3 次提交
  21. 28 7月, 2012 2 次提交
  23. 22 6月, 2012 1 次提交
  25. 13 6月, 2012 1 次提交
  27. 12 6月, 2012 1 次提交
  29. 07 6月, 2012 2 次提交
  31. 05 6月, 2012 1 次提交
  33. 17 5月, 2012 1 次提交
  35. 19 4月, 2012 6 次提交
  37. 18 4月, 2012 1 次提交
  39. 06 4月, 2012 1 次提交
  41. 21 3月, 2012 1 次提交
  43. 06 3月, 2012 1 次提交
  45. 02 3月, 2012 1 次提交
  47. 16 2月, 2012 1 次提交
    • N
      Catch raw hrefs as bad, warn unless wrapped in a "safe" method · 3dc688ee
      Neil Matatall 提交于 
      Add concept of a safe-ening method to mark hrefs as safe

Feature:
Warn when using unsafe hrefs.  This is a very specific case that as of now produces a ton of noise.  This came out of an xss vuln where the value was escaped but still vulnerable.

    link_to 'asdf', h(@scary)

where

    @scary = 'javascript:alert(1)'

or

    @scary = 'data:  # http://palpapers.plynt.com/issues/2010Oct/bypass-xss-filters/

This branch accomplishes slightly intelligent warnings by adding a new command line option to declare methods that make a string URL safe (unless there is already a standard one out there).  e.g.:

    $ brakeman . --url-safe-methods ensure_valid_protocol!

    link_to 'asdf', ensure_valid_protocol!(@scary, :javascript)
      3dc688ee
  49. 09 2月, 2012 2 次提交
  51. 02 2月, 2012 1 次提交
  53. 18 1月, 2012 1 次提交
  55. 07 1月, 2012 1 次提交
  57. 07 12月, 2011 1 次提交