Ruby China

新手问题 求教:rails 中关于如何防止 javascript attack 的情况下并显示原始内容

small_fish__ · 2013年12月02日 · 最后由 small_fish__ 回复于 2013年12月03日 · 2021 次阅读

需求:在完整显示用户输入的内容的前提下,防止用户输入之类的造成的问题。测试了 rails 自带的 sanitize,发现这个方法直接将不安全的内容直接屏蔽不显示了,这个如果用户是一段代码的化就不满足需求了,,故大家有啥好的办法呢?

1 个赞
hz_qiuyuanxin #1 2013年12月02日

这个能满足你的需要么? "用户输入的内容".html_safe

1 个赞
nouse #2 2013年12月02日

为什么要允许用户的代码?唯一解决办法就是 white list

small_fish__ #4 2013年12月02日

#1 楼 @hz_qiuyuanxin 这个测试了,不能。。

tumayun #5 2013年12月02日

@small_fish__ 一段代码?什么样的代码?

hz_qiuyuanxin #6 2013年12月02日

#4 楼 @small_fish__ 这样

<%= j "用户的内容" %>

参考这里

small_fish__ #7 2013年12月03日

#5 楼 @tumayun 例如随便一段 html 代码, 暂时用的这个方法 h(content).gsub(/\n/, '<br/>')

#3 楼 @jjym thanks

8 楼 已删除
需要 登录 后方可回复, 如果你还没有账号请 注册新账号