Railsアプリケーションを作成していますが、タグのテキストの削除について質問があります。strip_tagsユーザーが送信したテキストがビューに表示されているすべての場所でこのメソッドを使用するのは正常ですか?strip_tagsまたは、すべての入力をモデルで検証する必要があります。そうすれば、ビューにメソッドは必要ありませんか?これを追加する場所はたくさんあるので、私は正しいのだろうかと思います。
質問する
78 次
2 に答える
2
Rails 3以降を使用している場合は、Rubyからビューに出力されたすべてのものを自動的にエスケープします。何もする必要はありません。デフォルトでは安全です。
Rails 2.3以下で作業している場合は、を使用<%= h some_var %>して潜在的に有害な変数をエスケープします。
rails_xssまた、Rails 2.3でgemを使用して、Rails3からの保護を追加することもできます。
于 2012-08-06T16:37:57.070 に答える
0
入力/保存時にすべてのタグを削除します。後で心配する必要はありません。タグを実際に維持したい場合は、Presenterデザインパターンの使用を検討し、すべてのモデルデータ出力をプレゼンターに渡してください。その時点で、タグを1か所で削除できます。
于 2012-08-06T16:37:47.497 に答える