在Rails 3中禁用XSS和HTML清理
在Rails 3中禁用XSS和HTML清理
提问于 2011-08-05 11:26:52
我遇到了一个问题,当我使用activerecord将富文本编辑器的内容保存到数据库中时,html内容会被从html内容中剥离(我认为它会在上面触发html_safe )。我尝试覆盖内容字符串上的html_safe方法,但都不起作用。
content = "<p>hello</p>"
@article.content = content
puts @article.content # "<p>hello</p>"
@article.save
puts @article.content # "<>hello</>"如何覆盖特定列的activerecord中的html剥离功能?
回答 4
Stack Overflow用户
回答已采纳
发布于 2012-08-15 10:44:27
事实证明,这个问题与Rails或XSS剥离无关。我的代码是修改一个字符串,然后将结果保存到其他地方,这会导致原始输入发生变化。我通过使用string.dup复制原始字符串解决了这个问题,这样我就不会受到影响。
Stack Overflow用户
发布于 2011-08-06 06:43:51
正如frank blizzard在his answer中所说的,你使自己容易受到两次XSS攻击。
但是,如果您信任您的作者,即此列在两个显示中是安全的,那么您可以在您的Article模型中执行如下操作
class Article < ActiveRecord::Base
def content
attributes[:content].html_safe
end
endStack Overflow用户
发布于 2011-08-05 16:15:47
您可以使用raw(string)方法,但它会使您无法抵御XSS攻击。另一种选择是更深入地研究markdown。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/6951062
复制相关文章
相似问题
腾讯云开发者
