如何解决安全建议:GHSA-cfjv-5498-mph5 actionviewRubyGems
最近我从GitHub收到了一封带有以下安全公告的邮件。 它说:
我们在您具有安全警报访问权限的存储库中发现了一个易受攻击的依赖项。 安全咨询GHSA-cfjv-5498-mph5
Rails版本:6.0.3.2
解决方法
进行一些RnD之后,检查邮件中的附加链接。我发现此问题与Action View的翻译助手有关。
发生此问题When an HTML-unsafe string is passed as the default for a missing translation key named html or ending in _html
要解决此问题,我将Rails版本从6.0.3.2
更新为6.0.3.3
如果您不想更新Rails版本,可以通过使用html_escape助手(别名为h)手动转义默认翻译来解决其影响:
<%= t("welcome_html",default: h(untrusted_user_controlled_string)) %>
此问题发生在action_view版本>= 6.0.0.0,<= 6.0.3.2 and <= 5.2.4.3
中
在6.0.3.3 and 5.2.4.4
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。