ruby-on-rails – 如何使用带有rails的WYSIWYG编辑器,还有数据清
发布时间:2020-12-17 02:04:47 所属栏目:百科 来源:网络整理
导读:没有WYSIWYG编辑器的稀缺性,但似乎没有简单的途径来拥有一个并保持一些相似的保护,避免绕过客户端验证,包括脚本和对象标签. 我最初的想法是找到一个WYSIWYG编辑器,它将输出markdown,然后在db中存储markdown格式的文本并在显示器上解析.这样可以保护我不会在
|
没有WYSIWYG编辑器的稀缺性,但似乎没有简单的途径来拥有一个并保持一些相似的保护,避免绕过客户端验证,包括脚本和对象标签.
我最初的想法是找到一个WYSIWYG编辑器,它将输出markdown,然后在db中存储markdown格式的文本并在显示器上解析.这样可以保护我不会在数据库中存储潜在危险的代码,但也使我无需将编辑器提供的所有可能标记列入白名单,如果它是HTML则需要. 我在这里错过了一些非常简单的路径吗?其他人如何平衡拥有一个可用的编辑器,但却没有对攻击敞开大门? 解决方法
Ryan Grove’s sanitize gem是非常可定制的,我认为基本或放松模式可用于从WYSIWYG编辑器清理原始html(并且您不必将一堆标签列入白名单).
(编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |