我可以对用户输入的文本使用ActionView :: Helpers :: SanitizeHelper #sanitize吗?我计划向其他用户显示这些文本?例如,它会妥善处理本网站上描述的所有案例吗?
此外,文档提到:
请注意,对用户提供的文本进行清理并不能保证生成的标记有效(符合文档类型)或格式正确.输出可能仍包含未转义的'<','>','&'字符和混淆浏览器.
处理这个问题的最佳方法是什么?Hpricot在显示之前通过已消毒的文本?
Ryan Grove的Sanitize比Rails 3走得更远sanitize.它确保输出HTML格式正确,并具有三个内置白名单:
Sanitize :: Config :: RESTRICTED 只允许非常简单的内联格式化标记.没有链接,图像或块元素.
Sanitize :: Config :: BASIC 允许各种标记,包括格式化标记,链接和列表.不允许使用图像和表格,链接仅限于FTP,HTTP,HTTPS和mailto协议,并且所有链接都添加了一个属性以减轻SEO垃圾邮件.
Sanitize :: Config :: RELAXED允许比BASIC更多种标记,包括图像和表格.链接仍限于FTP,HTTP,HTTPS和mailto协议,而图像仅限于HTTP和HTTPS.在此模式下,不会添加到链接.
Sanitize当然比"h"帮手更好.它实际上允许您指定的html标记,而不是转义所有内容.是的,它确实阻止了跨站点脚本,因为它完全从混合中删除了javascript.
简而言之,两者都将完成工作.如果您不想要明文以外的任何其他内容,请使用"h",当您想要允许某些内容时使用清理,或者您认为人们可能会尝试输入它.即使你不允许所有使用sanitize的标签,它也会"删除"代码,而不是像"h"那样转义代码.
至于不完整的标签:您可以在通过hpricot传递包含html的字段的模型上运行验证,但我认为这在大多数应用程序中都是过度的.
京公网安备 11010802040832号 | 京ICP备19059560号-6 