在Rails中清除输出HTML的最佳方法是什么(避免XSS攻击)?
我有两个选择:white_list插件或Sanitize Helper http://api.rubyonrails.com/classes/ActionView/Helpers/SanitizeHelper.html中的sanitize方法。直到今天,对于我来说,white_list插件的运行情况都更好,过去,Sanitize的bug很大,但是作为Core的一部分,它可能正在开发中并得到一段时间的支持。
最佳答案
我认为h helper方法将在这里工作:
<%= h @user.profile %>
这样可以避免使用尖括号,从而消除所有嵌入式JavaScript。当然,这还将消除用户可能使用的任何格式。
如果要格式化,请查看markdown。
关于ruby-on-rails - 在Rails中清理输出,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/214850/