1

私は現在、javascript / jQueryとrailsに少し慣れており、オートコンプリートなどでタグ付けを作成するために、select2-railsでtext_field_tagを使用していました。

今はかなりうまく機能していますが、好奇心から私は

<script> alert( "hello"); </ script>

(スペースなしで)テキストボックスにアラートがポップアップ表示されます。それはかなり危険ではありませんか?そのtext_fieldでjavascriptが実行されないようにするために追加する必要があるものはありますか?

編集::これは私のtext_field_tagに適用するそのページの私のJavaScriptです:

$(document).ready(function() {  
    $("#filter-in-postkey-select2").select2( {  
        width                   : "450px",   
        placeholder             : "No postkeys. Add some here now!",  
        minimumInputLength      : 1,  
        maximumSelectionSize    : 5,  
        tags                    : ["red", "brown", "green"],  
        tokenSeparators         : [",", " "]  
    });  
});

私のテキストフィールドは単純です:

<%= text_field_tag "filter-in-postkey-select2" %>
4

1 に答える 1

1

XSS_terminateなどのプラグインを使用して、ユーザーの入力をエスケープできます

次に、モデルでこれを行うのと同じくらい簡単です:

class YourModel < ActiveRecord::Base
  xss_terminate :except => [ :your_input_field_to_be_exempt ]
end
于 2012-12-14T20:35:50.373 に答える