Ruby on rails 导轨中的XSS';JSON
我正在使用Rails中的主干渲染内容。我从模型中获得的一些json属性将是html属性,其中一些可能在javascript中使用,另一些将插入html元素之间。所有这些都需要不同的转义机制,人们如何处理这个问题呢?在我们的项目中,我们使用的是允许使用编码进行插值的机制(Ruby on rails 导轨中的XSS';JSON,ruby-on-rails,ruby,json,escaping,backbone.js,Ruby On Rails,Ruby,Json,Escaping,Backbone.js,我正在使用Rails中的主干渲染内容。我从模型中获得的一些json属性将是html属性,其中一些可能在javascript中使用,另一些将插入html元素之间。所有这些都需要不同的转义机制,人们如何处理这个问题呢?在我们的项目中,我们使用的是允许使用编码进行插值的机制({!…})。您还可以尝试对所有数据进行编码,并在保存数据时剥离任何可能的javascripts服务器端,以100%确保不会收到任何恶意信息 此外,如果您使用jquery方法,请记住使用text方法插入数据,而不是html,因为文本
{!…}texthtml我真的推荐圆点!它的速度非常快,我们已经设法使它在我们的项目中与requirejs一起非常好地发挥作用,我们正在使用它(与大多数其他项目一样)允许使用编码进行插值(
{!…}texthtml我真的推荐圆点!它的速度非常快,我们已经设法让它在requirejs中运行得非常好我正在使用ejs+jst和主干网。每个上下文的文本转义是否正确?ejs==有史以来最慢的js模板-我们已经从那个(和jmvc)切换到(主干+)点-速度差异很大(检查)!现在转义没有问题-虽然我猜您希望能够使用相同的模板使用服务器端和客户端渲染-我们的项目中只有客户端渲染。谢谢。实际上我真的很讨厌这个ejs.jst东西,只想使用z.template。我正在读关于多特的书。有关于主干网集成的信息吗?这对我们来说是直截了当的,我们也在使用requirejs,并且我们已经编写了专门的插件来处理加载模板并将它们动态转换为辅助模板方法。您是否使用依赖项加载程序?我使用的是sprcokets(资产管道)。我使用的是带有主干的ejs+jst。每个上下文的文本转义是否正确?ejs==有史以来最慢的js模板-我们已经从那个(和jmvc)切换到(主干+)点-速度差异很大(检查)!现在转义没有问题-虽然我猜您希望能够使用相同的模板使用服务器端和客户端渲染-我们的项目中只有客户端渲染。谢谢。实际上我真的很讨厌这个ejs.jst东西,只想使用z.template。我正在读关于多特的书。有关于主干网集成的信息吗?这对我们来说是直截了当的,我们也在使用requirejs,并且我们已经编写了专门的插件来处理加载模板并将它们动态转换为辅助模板方法。您是否使用依赖项加载程序?我使用的是sprcokets(资产管道)。