1

データベースに保存されたフィールドがサニタイズされるように、表示ではなく入力時にアプリケーションで html をサニタイズする必要があります。

私はこれを で行ってきましたが、うまく機能していましたstrip_tags。ただし、これには、ユーザーが and で囲まれたものを入力できないことを意味するという欠点が<あり>ます。

タグをデータベースに保存する前に、タグを安全にエスケープするようにモデル内の Rails に指示するにはどうすればよいですか? hビューで使用する前に、サニタイズされたフィールドを再度呼び出す必要はありません。

4

2 に答える 2

1

フィルターでhメソッドを呼び出すことができます。before_save

于 2010-05-21T03:50:26.817 に答える
1

1 つのオプションは、プラグイン xss_terminate を使用することです: http://code.google.com/p/xssterminate/

デフォルトでは、ユーザー入力からすべての HTML タグを取り除きます。

于 2010-05-21T03:53:20.810 に答える