如何允许用户在MyRails应用程序中添加html和javascript

我想创建一个Rails应用程序，用户可以在其中的子域中创建自己的博客，如：

user1blog.myapp.com

，

user2blog.myapp.com

等

我想允许用户添加html和javascript（有时他们需要在博客中添加弹出窗口，或者跟踪代码…）

---

我看到很多网站允许用户不受任何限制地添加脚本和html，但我如何在不影响Rails应用程序安全性的情况下做到这一点呢？

这个问题有多个方面：

动态子域：

其他问题涉及这一点：

简而言之，有很多方法，这取决于您的用例

用户提交的html、js

这里也有很多解决方案

我建议搜索“CMS”（内容管理系统）

有炼油厂、舒适的墨西哥沙发等解决方案。 同样，这在很大程度上取决于您的用例

我的Rails应用程序的安全性

---

如果你允许用户提交html和js，我会说你是在暗中破坏网站的安全性。您的Rails应用程序本身可能是安全的，但这是有关xss、auth[z/n]和其他项目的主要对话主题。同样，高度依赖于您的用例。

我知道子域，但我认为它们不能解决安全问题！！每次你在我的用例中说依赖！！！我认为我的用例非常简单：找到任何类型的安全解决方案，同时允许用户保存javascript和html代码。像blogger和thumblr这样的网站是怎么做的？问题是你的问题中没有提到“安全问题”。你担心什么问题？例如，作为一个简单的例子（这不太好）-为什么不能允许一个表单允许任意上传文件，并带有“子域”的文本字段？我没有指定确切的问题，因为我不知道攻击的所有可能性，但主要是阻止用户访问另一个用户帐户，此外，我将有一个管理区在我的主要领域，我不会让其他用户获得访问太…还有一个每月订阅，我希望系统是足够安全的！我愿意接受各种各样的想法和建议……在这个网站的元部分（）：“你的问题应该有合理的范围。如果你能想象一整本书都能回答你的问题，那么你的要求就太多了。”这接近于这个领域。我建议你以一种特定的方式，而不是像这样一个宽泛的问题，展示你已经尝试了什么，你期望什么，以及你目前的努力/技术是如何不足的。