如何在rails中安全地保存/检索HTML标签到数据库?
发布时间:2020-12-14 23:20:30 所属栏目:资源 来源:网络整理
导读:我需要在我的rails应用程序中安全地将HTML标记保存/检索到数据库.目前我保存HTML没有任何验证如下: 在视图中我使用 .它按预期工作.但我需要知道它是否安全? 最佳答案 你永远不能确定它是安全的.始终将所有用户输入视为敌对. 但是,如果“安全”是指“没有可
我需要在我的rails应用程序中安全地将HTML标记保存/检索到数据库.目前我保存HTML没有任何验证如下:
在视图中我使用<%= raw @ page.desription%>.它按预期工作.但我需要知道它是否安全? 最佳答案
你永远不能确定它是安全的.始终将所有用户输入视为敌对.
但是,如果“安全”是指“没有可能真正有害的元素,如< script> s和< style> s”,那么我会向您呈现Sanitization Helper.您可以从数据库中打印HTML并仅允许某些标签的白名单. <%= raw sanitize @ page.description,tags:%w(h2 p strong em a),attributes:%w(id class href)%> 上面的例子将允许所有h2,p,strong,em和a标签,以及它们上只有id,class和href属性.其他一切都将被删除. (编辑:李大同) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |