Biểu thức chính quy có xác thực trong RoR 4

Có mã sau:

class Product < ActiveRecord::Base
  validates :title, :description, :image_url, presence: true
  validates :price, numericality: {greater_than_or_equal_to: 0.01}
  validates :title, uniqueness: true
  validates :image_url, allow_blank: true, format: {
      with: %r{\.(gif|jpg|png)$}i,
      message: 'URL must point to GIT/JPG/PNG pictures'
  }
end

Nó hoạt động, nhưng khi tôi cố gắng kiểm tra nó bằng cách sử dụng "kiểm tra rake", tôi sẽ nhận được thông báo sau:

rake aborted!
The provided regular expression is using multiline anchors (^ or $), which may present a security risk. Did you mean to use \A and \z, or forgot to add the :multiline => true option?

Nó có nghĩa là gì? Làm thế nào tôi có thể sửa chữa nó?

^và $là các neo Bắt đầu Dòng và Cuối Dòng . Trong khi \Avà \zlà các neo bắt đầu vĩnh viễn của chuỗi và cuối chuỗi .
Thấy sự khác biệt:

string = "abcde\nzzzz"
# => "abcde\nzzzz"

/^abcde$/ === string
# => true

/\Aabcde\z/ === string
# => false

Vì vậy, Rails đang nói với bạn, "Bạn có chắc chắn muốn sử dụng ^và $? Bạn không muốn sử dụng \Avà \zthay thế?"

Có nhiều mối quan tâm về an ninh đường ray tạo ra cảnh báo này ở đây .

Cảnh báo này xuất hiện vì quy tắc xác thực của bạn dễ bị chèn javascript.

Trong trường hợp của bạn \.(gif|jpg|png)$phù hợp cho đến cuối dòng. Vì vậy, quy tắc của bạn sẽ xác thực giá trị này pic.png\nalert(1);là đúng:

"test.png\n<script>alert(1)</script>" === /\.(gif|jpg|png)$/i
# => true

"test.png\n<script>alert(1)</script>" === /\.(gif|jpg|png)\z/i
# => false

Đọc các hạt:

• http://caiustheory.com/validating-data-with-regular-expressions-in-ruby
• http://guides.rubyonrails.org/security.html#regular-expressions

Vấn đề regexp không nằm trong devise, mà nằm trong config / initializers / devise.rb. Thay đổi:

# Regex to use to validate the email address
config.email_regexp = /^([\w\.%\+\-]+)@([\w\-]+\.)+([\w]{2,})$/i

đến:

# Regex to use to validate the email address
  config.email_regexp = /\A([\w\.%\+\-]+)@([\w\-]+\.)+([\w]{2,})\Z/i

Cảnh báo cho bạn biết rằng các chuỗi như sau sẽ vượt qua xác thực, nhưng nó có thể không phải là những gì bạn muốn:

test = "image.gif\nthis is not an image"
re = /\.(gif|jpg|png)$/i
re.match(test) #=> #<MatchData ".gif" 1:"gif">

Cả hai ^và $đối sánh với điểm bắt đầu / kết thúc của bất kỳ dòng nào, không phải là đầu / cuối của chuỗi. \Avà \zkhớp với phần đầu và phần cuối của chuỗi đầy đủ, tương ứng.

re = /\.(gif|jpg|png)\z/i
re.match(test) #=> nil

Phần thứ hai của cảnh báo (“hoặc quên thêm tùy chọn: multiline => true”) cho bạn biết rằng nếu bạn thực sự muốn hành vi của ^và $bạn có thể chỉ cần tắt tiếng cảnh báo chuyển :multilinetùy chọn.

Nếu Ruby muốn xem \zthay vì $ký hiệu biểu tượng, để bảo mật, bạn cần đưa nó cho anh ta, khi đó mã sẽ giống như sau:

validates :image_url, allow_blank: true, format: {with: %r{\.(gif|jpg|png)\z}i, message: 'URL must point to GIF, JPG, PNG.'}