回答編集履歴

微修正

2023/06/13 04:10

投稿

shinoharat

スコア1676

test CHANGED Viewed

@@ -52,17 +52,13 @@
 今の書き方だと、悪意のある HTML や JavaScript が挿入できてしまうため、「クロスサイトスクリプティング(XSS)」という攻撃が成立してしまいます。
-```erb:脆弱性のあるコード
-<iframe src="https://www.youtube.com/embed/<%= find_youtube_url(work.youtube_url) %>" ... ></iframe>
-```
 **攻撃例**
-画面の youtube_url のテキストボックスに以下の文字列を入力すると、アラートが出てしまいます。
+画面の youtube_url のテキストボックスに以下の文字列を入力すると、アラートが出るはずです。
 `https://youtu.be/WGiUk8VakxQ" onload="alert('XSS!!')" x="`
-alert の部分を悪意あるコードに変えれば、「Cookie窃盗」や「Webページの汚損」が可能です。
+alert の部分を悪意あるコードに変えれば、「Cookie窃盗」や「Webページの汚損」などの攻撃が可能です。
 **修正例１**

undefined method `gsub' の対処について追記

2023/06/12 00:14

投稿

shinoharat

スコア1676

test CHANGED Viewed

@@ -88,3 +88,34 @@
 ) %>
 ```
+---------------------
+## （追記 2023/6/12）undefined method `gsub' について
+gsub でエラーが出る原因は `String#strip!` メソッドだと思います。
+ドキュメントによると、『空白がある場合はそれを取り除いた文字列を返すが、空白が無い場合は nil を返す』そうです。
+> strip! は、内容を変更した self を返します。 **ただし取り除く空白がなかったときは nil を返します。**
+>
+> https://docs.ruby-lang.org/ja/latest/method/String/i/strip=21.html より
+空白を除去するメソッドには、破壊的な `strip!` と、非破壊的な `strip` があります。
+もし引数を破壊的に変更することに特別な意味が無いなら、非破壊的な方の `strip` を使えば、今回のエラーは解消できると思います。
+```diff
+  module FarmersHelper
+    def find_youtube_url(youtube_url)
+      if youtube_url.include?("https://youtu.be/")
+-       youtube_url.strip!.gsub("https://youtu.be/", "")
++       youtube_url.strip.gsub("https://youtu.be/", "")
+        # "https://youtu.be/WGiUk8VakxQ" 11桁のyoutubeのURLが出力されるようにする
+      else
+-       youtube_url.strip!.gsub("https://www.youtube.com/watch?v=", "")
++       youtube_url.strip.gsub("https://www.youtube.com/watch?v=", "")
+        # "https://www.youtube.com/watch?v=WGiUk8VakxQ" 11桁のyoutubeのURLが出力されるようにする
+      end
+    end
+  end
+```