Warning: file_get_contents(/data/phpspider/zhask/data//catemap/2/ruby-on-rails/53.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181

Warning: file_get_contents(/data/phpspider/zhask/data//catemap/5/ruby/20.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Ruby on rails 以最安全的方式填充HTML`a`标记的`href`属性值_Ruby On Rails_Ruby_Security_Ruby On Rails 3_Url - Fatal编程技术网
Fatal编程技术网
  • ruby-on-rails/
  • Ruby on rails 以最安全的方式填充HTML`a`标记的`href`属性值

Ruby on rails 以最安全的方式填充HTML`a`标记的`href`属性值

ruby-on-rails ruby security ruby-on-rails-3 url

Ruby on rails 以最安全的方式填充HTML`a`标记的`href`属性值,ruby-on-rails,ruby,security,ruby-on-rails-3,url,Ruby On Rails,Ruby,Security,Ruby On Rails 3,Url,我正在使用RubyonRails 3.0.7,我想在视图文件中填充HTMLa标记的href属性值 <a href="<populating_value>">Test name</a> 我计划从输入表单文本字段中检索该值(“代码”) 最安全的方法是什么(从验证到在视图文件中输出的步骤)?我在哪里可以找到关于这件事的详细信息?您有什么建议(例如:在没有事先对用户输入的字符串进行安全检查的情况下填充href属性值是否安全?? 注意:该值可以是URL或电子邮件地

我正在使用RubyonRails 3.0.7,我想在视图文件中填充HTML
a
标记的
href
属性值

<a href="<populating_value>">Test name</a>
我计划从输入表单文本字段中检索该值(“代码”)

最安全的方法是什么(从验证到在视图文件中输出的步骤)?我在哪里可以找到关于这件事的详细信息?您有什么建议(例如:在没有事先对用户输入的字符串进行安全检查的情况下填充
href
属性值是否安全??

注意:该值可以是URL或电子邮件地址。

使用
链接到
并转义字符串有什么问题?如果您不确定字符串的安全性,请调用类似“测试名称”的
link\u,h(link)
以了解更多信息


即使不调用h,也应转义此字符串。请尝试阅读上的这篇博文。
Rails 3会处理XSS内容,这会使此功能易受攻击。是的,所有字符串都应该被清除,进入该函数的任何字符串都应该自动转义,除非
string.html\u safe?=正确