Ruby China

Rails 针对富文本编辑器的输入,在服务器端怎么去写白名单?

rubychinatest · 2013年08月11日 · 最后由 Rei 回复于 2013年08月11日 · 2504 次阅读

如题: 在页面上显示来自富文本编辑器输入的内容时,怎样做到防止跨站脚本攻击?

shatle #1 2013年08月11日

过虑标签?!

cantin #2 2013年08月11日

sanitize 这个方法

rubychinatest #3 2013年08月11日

编辑器里有各种 tag 过滤规则,在服务端上写验证的话,与客户端验证匹配起来还是很麻烦。不只有没有好的办法?

Rei #4 2013年08月11日

#3 楼 @rubychinatest 编辑器怎么过滤都好,坏人都可以用脚本提交,绕过前端验证,所以服务端过滤还是要做。

需要 登录 后方可回复, 如果你还没有账号请 注册新账号