根据Brakeman的说法，为什么这是XSS？

Question

有人能给我解释一下为什么这是一个安全问题吗？

= link_to new_locale.to_s, params.slice(:id, :reader_id, :screen_type).merge(locale: new_locale)

我正在尝试添加一个简单的部分到我的项目，以便能够在语言之间切换。我真的不希望这个部分必须与每个控制器交互，或者将用户切换到不同的页面，或者必须知道所有可能的有效参数。

Answer 1

我快速浏览了一下源代码，我怀疑是以下原因之一触发了它：

1. 您正在为link_to的第一个参数调用.to_s，这会导致传入一个html_safe字符串。
2. 用户输入被直接提交给link_to，我认为这将是一个误报。

您可以通过自己查看the source for the link_to XSS tests in Brakeman来进一步挖掘。