0

Ruby on Rails アプリケーションで FCKEditor を使用しています。ユーザーは、FCKEditor を使用してブログ投稿を追加します。

次に、次を使用してブログ投稿を表示します

@blog.body.html_safe

FCKEditor が JavaScript コードをエスケープしていることは知っていますが、ユーザーが直接パラメーターを使用してリクエストを投稿し、いくつかの JavaScript を含むブログ投稿本文を設定した場合はどうなるでしょうか。これは、セキュリティの脆弱性である可能性があります。

RailsセーフでFCKEditorを使用するにはどうすればよいですか?

4

1 に答える 1

0

ホワイトリストHTMLサニタイザーを使用して、一部のフォーマットタグを除くすべてのタグをエスケープできます。

サニタイズ

于 2012-04-01T13:21:54.123 に答える