如何在rails中安全地保存/检索HTML标签到数据库？

发布时间：2020-12-14 23:20:30 所属栏目：资源来源：网络整理

导读：我需要在我的rails应用程序中安全地将HTML标记保存/检索到数据库.目前我保存HTML没有任何验证如下：在视图中我使用 .它按预期工作.但我需要知道它是否安全？最佳答案你永远不能确定它是安全的.始终将所有用户输入视为敌对. 但是,如果“安全”是指“没有可

我需要在我的rails应用程序中安全地将HTML标记保存/检索到数据库.目前我保存HTML没有任何验证如下：


在视图中我使用<％= raw @ page.desription％>.它按预期工作.但我需要知道它是否安全？


最佳答案
你永远不能确定它是安全的.始终将所有用户输入视为敌对.
但是,如果“安全”是指“没有可能真正有害的元素,如< script> s和< style> s”,那么我会向您呈现Sanitization Helper.您可以从数据库中打印HTML并仅允许某些标签的白名单.
<％= raw sanitize @ page.description,tags：％w(h2 p strong em a),attributes：％w(id class href)％>
上面的例子将允许所有h2,p,strong,em和a标签,以及它们上只有id,class和href属性.其他一切都将被删除.
                        （编辑：李大同）
【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!