我可以对用户输入的文本使用ActionView :: Helpers :: SanitizeHelper #sanitize吗?我计划向其他用户显示这些文本?例如,它会妥善处理本网站上描述的所有案例吗?
此外,文档提到:
请注意,对用户提供的文本进行清理并不能保证生成的标记有效(符合文档类型)或格式正确.输出可能仍包含未转义的'<','>','&'字符和混淆浏览器.
处理这个问题的最佳方法是什么?Hpricot在显示之前通过已消毒的文本?
Hpricot
xss ruby-on-rails sanitize
ruby-on-rails ×1
sanitize ×1
xss ×1