那些遇到过的问题

如何在rails中安全地保存/检索HTML标签到数据库?

use*_*047 5 html ruby validation ruby-on-rails ruby-on-rails-4

我需要在我的rails应用程序中安全地将HTML标记保存/检索到数据库.目前我保存HTML没有任何验证如下:

<h2>Sample title</h2> 
<p>sample description</p>
Run Code Online (Sandbox Code Playgroud)

在我使用的视图中<%=raw @page.desription %>.它按预期工作.但我需要知道它是否安全?

Edd*_*gan 11

你永远不能确定它是安全的.始终将所有用户输入视为敌对.

但是,如果"安全"是指"没有像s和s 这样的潜在真正有害的元素",那么我就向你呈现消毒助手.您可以从数据库中打印HTML,并且只允许使用某些标签白名单.<script><style>

<%=raw sanitize @page.description, tags: %w(h2 p strong em a), attributes: %w(id class href) %>

上面的例子将允许所有h2,p,strong,ema标签,只有id,classhref对他们的属性.其他一切都将被删除.

归档时间:

查看次数:

4061 次

最近记录:

8 年,1 月 前
内容数据库 - 可以存储HTML吗? 11
更多相关链接
相关归档
这是一个网页还是一个图像? 46
如何防止搜索引擎索引我网站的单个页面? 27
向现有Rails模型添加模型引用 27
什么是最符合语义的子标题方法? 22
BeautifulSoup webscraping find_all():找到完全匹配 17
Rails 3路由和多个域 13
为什么浮点数打印得如此不同? 12
如何验证XmlSerializer的输出? 6
Rails 4如何捕获ajax:成功事件 6
Rails - 同一表单的不同form_for语句 1
难疑归档
AngularJS:服务与提供商vs工厂 3296
如何检查列表是否为空? 3235
如何在Windows上安装pip? 2469
以像素为单位获取屏幕尺寸 1798
在UITableView中使用自动布局来获取动态单元格布局和可变行高 1477
你什么时候应该使用escape而不是encodeURI/encodeURIComponent? 1371
在Android上旋转活动重启 1341
Subversion存储库中"分支","标记"和"主干"的含义是什么? 1181
Ukkonen的简明英语后缀树算法 1065
JavaScript中的(内置)方式,用于检查字符串是否为有效数字 1051