- @archives.each do |archive|
    =  link_to "FTP",params.merge(:action => :ftp,:archive => archive,:recipient => "company")

您应该仅基于您期望的参数元素创建新的哈希值,并希望允许它们作为FTP链接的一部分,并使用它来合并其他参数.

您允许我通过修改查询字符串来添加任何我想要的FTP链接,打开安全漏洞的大门.通过构建用于代替params.merge中的参数的哈希(…您实际上将预期的querystring组件列入白名单,以便在您要渲染的模板中使用.

作为一个GET示例,如果您期望一个URL

/some/path?opt1=val1&opt2=val2

你可能会做出控制器的操作

@cleaned_params = { opt1: params[:opt1],opt2: params[:opt2] }
@cleaned_params.merge! action: :ftp,archive: archive,recipient: :company

然后将@cleaned_pa​​rams传递给link_to

=  link_to "FTP",@cleaned_params

这样我手动输入一个URL

/some/path?opt1=val1&opt2=val2&malicIoUsopt=somexss

params [：malicIoUsopt]将永远不会在您的视图中进入您的FTP link_to.

同样的行为适用于POST请求,只是恶意的,我可能会在提交表单之前添加几个字段

<input type="hidden" name="malicIoUsopt" value="somexss" />