0

RedCloth gemを使用したいのですが、インストールします。gemfileに->gem'RedCloth'をshow.html.erbに配置します->

<%= RedCloth.new(@post.text).to_html %>

使用するよりも単純なhtml構文を見ました

<%= raw RedCloth.new(@post.text).to_html %>

そしてそれは完璧に動作します、それは安全ではありません
@post.text->一部のユーザーによる投稿

そして、私が置いたとき、<script> alert('!!!') </script>私は「!!!」を見ました 警戒中

RedClothを安全に使用する方法(または別の宝石をお勧めします)

4

1 に答える 1

0

サニタイズ ジェムhttps://github.com/rgrove/sanitize/は、特定の html 要素のみをホワイトリストに登録し、他の要素をブロックするための堅実な選択肢です (例: )

于 2012-08-28T13:56:28.687 に答える