那些遇到过的问题

在Rails中清理CSS

Eri*_*rik 13 javascript css security ruby-on-rails

我想允许我正在构建的Web应用程序的用户编写自己的CSS以自定义他们的个人资料页面.

但是我知道这种开放存在许多安全风险,即背景:url('javascript:alert("得到你的cookie!"+ document.cookies').

因此,我正在寻找一种清理CSS的解决方案,同时仍然为我的用户提供尽可能多的CSS功能.

所以我的问题,如果有人知道一个宝石或插件来处理这个?我已经搜索过我的大脑,所以任何提示都会非常感激!

小智 7

Rails有一个内置的css消毒剂

请参阅http://apidock.com/rails/ActionView/Helpers/SanitizeHelper/sanitize_css及其父级http://apidock.com/rails/ActionView/Helpers/SanitizeHelper/sanitize

> ActionController::Base.helpers.sanitize_css('background:#fff')
=> "background: #fff;" 
> ActionController::Base.helpers.sanitize_css('javascript:alert("garr");')
=> ""
Run Code Online (Sandbox Code Playgroud)

归档时间:

查看次数:

1935 次

最近记录:

14 年,1 月 前
相关归档
.includes()无法在Internet Explorer中使用 88
有没有办法使用CSS使用文本作为背景? 81
检测浏览器是否在Android或iOS设备上运行 66
asp.net:无效的回发或回调参数 44
使用rvm更新ruby版本后收到警告消息"Path set to RVM" 42
如何摆脱像PHP病毒文件一样的eval-base64_decode? 36
WIF 4.5 BootstrapContext安全令牌null 24
Rails会破坏所有最新的n条记录 19
如何理解和减少Rails应用程序中的IP欺骗攻击错误? 7
c#桌面应用程序的最佳安全框架? 6
难疑归档
如何在JavaScript中验证电子邮件地址? 4099
HashMap和Hashtable之间的区别? 3604
在vi中快速缩进多行 2111
如何在jQuery中选择具有多个类的元素? 1985
数据绑定如何在AngularJS中运行? 1924
NPM vs. Bower vs. Browserify vs. Gulp vs. Grunt vs. Webpack 1811
轻松获取最新的git子模块 1748
如何在Notepad ++中格式化XML? 1661
什么是TypeScript,为什么我会用它代替JavaScript? 1637
performSelector可能导致泄漏,因为其选择器未知 1251