Ruby on rails 以最安全的方式填充HTML`a`标记的`href`属性值
我正在使用RubyonRails 3.0.7,我想在视图文件中填充HTMLRuby on rails 以最安全的方式填充HTML`a`标记的`href`属性值,ruby-on-rails,ruby,security,ruby-on-rails-3,url,Ruby On Rails,Ruby,Security,Ruby On Rails 3,Url,我正在使用RubyonRails 3.0.7,我想在视图文件中填充HTMLa标记的href属性值 <a href="<populating_value>">Test name</a> 我计划从输入表单文本字段中检索该值(“代码”) 最安全的方法是什么(从验证到在视图文件中输出的步骤)?我在哪里可以找到关于这件事的详细信息?您有什么建议(例如:在没有事先对用户输入的字符串进行安全检查的情况下填充href属性值是否安全?? 注意:该值可以是URL或电子邮件地
a
标记的href
属性值
<a href="<populating_value>">Test name</a>
我计划从输入表单文本字段中检索该值(“代码”)
最安全的方法是什么(从验证到在视图文件中输出的步骤)?我在哪里可以找到关于这件事的详细信息?您有什么建议(例如:在没有事先对用户输入的字符串进行安全检查的情况下填充href
属性值是否安全??
注意:该值可以是URL或电子邮件地址。使用
链接到并转义字符串有什么问题?如果您不确定字符串的安全性,请调用类似“测试名称”的link\u,h(link)
以了解更多信息
即使不调用h,也应转义此字符串。请尝试阅读上的这篇博文。Rails 3会处理XSS内容,这会使此功能易受攻击。是的,所有字符串都应该被清除,进入该函数的任何字符串都应该自动转义,除非string.html\u safe?=正确