2025年信息系统安全专家RubyonRails安全编码规范专题试卷及解析.pdf

2025年信息系统安全专家RUBYONRAILS安全编码规范专题试卷及解析1

2025年信息系统安全专家RubyonRails安全编码规范专

题试卷及解析

2025年信息系统安全专家RubyonRails安全编码规范专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在RubyonRails中，为了防止SQL注入攻击，应优先使用哪种方法来构建数

据库查询？

A、直接拼接SQL字符串

B、使用参数化查询或ActiveRecord方法

C、使用eval函数动态执行SQL

D、禁用所有数据库查询

【答案】B

【解析】正确答案是B。参数化查询和ActiveRecord方法（如where、find等）会

自动处理输入参数的转义，有效防止SQL注入。A选项直接拼接字符串是典型漏洞；C

选项eval会执行任意代码，极其危险；D选项过于极端，影响正常功能。知识点：SQL

注入防护原理。易错点：误以为手动转义足够安全。

2、Rails中哪个方法可以自动为所有表单添加CSRF令牌？

A、protect_from_forgery

B、verify_authenticity_token

C、skip_forgery_protection

D、form_authenticity_token

【答案】A

【解析】正确答案是A。protect_from_forgery是Rails默认的CSRF防护机制，会

自动在表单中插入令牌。B是手动验证方法；C是跳过防护；D是获取令牌值但不自动

添加。知识点：CSRF防护机制。易错点：混淆自动防护和手动验证方法。

3、在Rails中，处理用户上传文件时，应特别注意防范哪种攻击？

A、XSS攻击

B、文件类型伪造攻击

C、SQL注入

D、CSRF攻击

【答案】B

【解析】正确答案是B。文件上传需验证MIME类型和扩展名，防止恶意文件执

行。A、C、D是其他类型攻击。知识点：文件上传安全。易错点：只检查扩展名而忽

略MIME类型。

4、Rails的strongparameters机制主要用于解决什么问题？

2025年信息系统安全专家RUBYONRAILS安全编码规范专题试卷及解析2

A、性能优化

B、批量赋值漏洞

C、数据库连接池管理

D、路由安全

【答案】B

【解析】正确答案是B。strongparameters限制可批量赋值的属性，防止用户通过

表单修改敏感字段。A、C、D是其他功能。知识点：批量赋值漏洞防护。易错点：误

以为所有参数都应允许批量赋值。

5、在Rails中，以下哪种做法最符合安全编码规范？

A、在视图中直接输出用户输入

B、使用ERB的标签自动转义

C、用raw方法输出所有用户内容

D、禁用所有输出转义

【答案】B

【解析】正确答案是B。ERB默认转义可防止XSS。A和D会直接输出危险内容；

C的raw方法会禁用转义。知识点：XSS防护。易错点：为显示HTML格式而滥用raw

方法。

6、Rails的session存储方式中，哪种最安全？

A、CookieStore

B、CacheStore

C、ActiveRecordStore

D、MemCacheStore

【答案】C

【解析】正确答案是C。ActiveRecordStore将session数据存储在数据库中，避免客

户端篡改。A存储在客户端易被破解；B和D是内存存储，可能丢失数据。知识点：会

话安全。易错点：为性能选择不安全的CookieStore。

7、在Rails中，防止敏感信息泄露的最佳实践是？

A、硬编码在代码中

B、使用Railscredentials加密存储

C、存储在public目录

D、提交到版本控制

【答案】B

【解析】正确