事例:CVE-2020-15169: Potential XSS vulnerability in Action View
Potential XSS vulnerability in Action View
Acton View
での
XSS
問題
Rails内で
i18n
を通す際、キーに
_html
がある場合は
html_safe
として扱われる
翻訳対象がない場合に代わりに使う
default
のキーに信頼できない値が渡っていた場合にXSSとなった
関連
事例:CVE-2024-26143: Possible XSS Vulnerability in Action Controller
#事例
#CVE