我需要在我的rails应用程序中安全地将HTML标记保存/检索到数据库.目前我保存HTML没有任何验证如下:
在视图中我使用<%= raw @ page.desription%>.它按预期工作.但我需要知道它是否安全?
最佳答案
你永远不能确定它是安全的.始终将所有用户输入视为敌对.
但是,如果“安全”是指“没有可能真正有害的元素,如< script> s和< style> s”,那么我会向您呈现Sanitization Helper.您可以从数据库中打印HTML并仅允许某些标签的白名单.
<%= raw sanitize @ page.description,tags:%w(h2 p strong em a),attributes:%w(id class href)%>
上面的例子将允许所有h2,p,strong,em和a标签,以及它们上只有id,class和href属性.其他一切都将被删除.
原文地址:https://www.jb51.cc/html/426860.html
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
