Ruby on rails Rails：在视图中这样做安全吗？_Ruby On Rails_Ruby_Security - Fatal编程技术网

Ruby on rails Rails：在视图中这样做安全吗？

ruby-on-rails ruby security

Ruby on rails Rails：在视图中这样做安全吗？,ruby-on-rails,ruby,security,Ruby On Rails,Ruby,Security,我有一个带有属性title（string）的模型标签标记属于带有的模型文档，具有多个：通过关联在文档#显示视图中，我需要显示与该文档关联的所有标记，因此我需要： %p= raw @document.tags.map{|t| link_to t.title.prepend('#'), t}.join(', ') 考虑到用户可以创建标签，这样安全吗如果不安全，我如何才能达到同样的效果谢谢。一般来说，所有逻辑（或尽可能多的逻辑）都应该移到帮助器或模型中。我不会说这是“安全的”或“不安全的”，

我有一个带有属性

title（string）

的模型

标签

标记

属于带有

的模型文档
，具有多个：通过关联
在文档#显示视图中，我需要显示与该文档关联的所有标记，因此我需要：
%p= raw @document.tags.map{|t| link_to t.title.prepend('#'), t}.join(', ')

考虑到用户可以创建标签，这样安全吗
如果不安全，我如何才能达到同样的效果
谢谢。
一般来说，所有逻辑（或尽可能多的逻辑）都应该移到帮助器或模型中。我不会说这是“安全的”或“不安全的”，但在一般的良好实践中是这样做的。
是的，标签的标题在成为链接内容之前将被转义，因此即使其中有HTML，也会被呈现，而不是原始输出。这里不转义的输出是由连接产生的字符串，这很好。
在这种情况下，它是安全的，因为链接到将转义它的参数，但是为什么要冒险（可能在几个月内修改块的内部，等等），使用安全连接
：
%p= safe_join @document.tags.map{|t| link_to t.title.prepend('#'), t}, ', '

或者使用我的“gem”，您可以安全地加入而不需要原始
谢谢您的解释。




[ruby]相关文章推荐



                                                        
如何编写在安装RubyGem时调用的钩子？
ruby 
Ruby 你能为现有的gems安装文档吗？
ruby 
使用Ruby手动连接到PostgreSQL
rubypostgresql 
Ruby 未将参数传递给Rails 3.0.3中的方法
rubyruby-on-rails-3 
什么值假定使用RubyonRails的未初始化变量？
ruby 
Ruby 如何避免在拆分字符串时删除尾随的空项？
ruby 
Ruby方法（）方法
ruby 
Ruby gempec依赖项定义和要求冲突
ruby 
刮取每个父元素的最后一个锚点href（使用Ruby Nokogiri）
rubyregexweb-scraping 
Ruby 如果未找到文件，则在sinatra中呈现404
rubyrouting 
Ruby 放置文件内容后无法对其运行正则表达式？
rubyregex 
Ruby 如何过滤哈希映射数组
ruby 
用ruby解析XML文档
rubyxmlparsing 
需要一些关于小计算器的指导吗？我正在使用Ruby
rubymath 
Ruby gem安装卡在Nokogiri上
rubylinuxdebian 
Ruby Jekyll服务器在移动浏览器中不工作
rubymobilejekyll 
Ruby 红宝石发生器
ruby 
在ruby中| |=运算符/s的功能是什么？
ruby 
方法应该修改Ruby中的实例变量吗？
ruby 
Ruby 由于kgio gem问题，捆绑包安装失败
rubymacos 
                                       





随机文章推荐



                                                        
Qt4 什么'；QMainWindow、QWidget和QDialog之间的区别是什么？
qt4 
Qt4 使用Qt拥有库：未定义引用
qt4embedded 
Qt4 Qt 4.7：缺少QUNDO命令？
qt4 
Qt4 正在将QString与0进行比较。它有效吗？
qt4 
Qt4 如何将不同的信号连接到QT上的同一插槽？
qt4 
Qt4 如何让用户更改帧的宽度
qt4


                                        

                                        
                                        


                                                
                                                        [ruby on rails]相关推荐
                                                        
Ruby on rails Capistrano:deploy.rb文件重构
									Ruby On Rails
							 									Ruby
							 
Ruby on rails Rails 3，使异常链接可单击并在编辑器中打开（textmate）
									Ruby On Rails
							 
Ruby on rails RubyonRails的HTML净化器？
									Ruby On Rails
							 									Ruby On Rails 3
							 
Ruby on rails rails 3编写一个控制器方法来检查当前用户的类型
									Ruby On Rails
							 
Ruby on rails ror-在“是否有多个”的两端包含外键并属于？
									Ruby On Rails
							 									Ruby
							 									Activerecord
							 
Ruby on rails Rails：在生产中通过Gmail发送电子邮件
									Ruby On Rails
							 									Smtp
							 									Gmail
							 
Ruby on rails 如何使用带有字段的has\u secure\u密码
									Ruby On Rails
							 									Ruby
							 
Ruby on rails 回形针：：错误：：未由ImageMagickeror识别：
									Ruby On Rails
							 
Ruby on rails 在Rails中发送文件后删除文件夹
									Ruby On Rails
							 
Ruby on rails 将变量传递给部分-未定义的局部变量或方法错误
									Ruby On Rails
							 
Ruby on rails FactoryGirl建立了一个多关联的存根策略
									Ruby On Rails
							 
Ruby on rails Can'；将SSH转换为使用Rubber创建的EC2实例
									Ruby On Rails
							 									Amazon Ec2
							 
Ruby on rails Rails数据建模：活动建模
									Ruby On Rails
							 									Database Design
							 									Model
							 
Ruby on rails 在HAML中将ruby块传递给partial
									Ruby On Rails
							 									Ruby
							 
Ruby on rails 查找参数不是ID的模型
									Ruby On Rails
							 									Ruby
							 									Ruby On Rails 4
							 									Active Directory
							 
Ruby on rails 如何使用字符串变量，如“quot；“日、月、年”；在；1.变量.ago“；时间表达式？
									Ruby On Rails
							 									Ruby
							 
Ruby on rails 耙试验不'；无法识别测试文件夹中的新文件夹
									Ruby On Rails
							 									Ruby
							 									Unit Testing
							 
Ruby on rails 在一个请求中创建一个对象并更新另一个对象
									Ruby On Rails
							 
Ruby on rails 友好id：电影的未定义方法slug
									Ruby On Rails
							 									Ruby
							 									Url
							 
Ruby on rails 让Rails产品在端口80上运行
									Ruby On Rails
							 									Apache
							 									Ubuntu
							 
Ruby on rails 在每个循环rails中获取数据
									Ruby On Rails
							 									Ruby
							 									Ruby On Rails 3
							 									Loops
							 									Ruby On Rails 4
							 
Ruby on rails 自定义或覆盖ActiveAdmin编辑/更新操作控制器
									Ruby On Rails
							 
Ruby on rails 语法错误，意外''；，期望值=>u、 许可证（角色：[]，：电子邮件，：密码，：密码\u确认^
									Ruby On Rails
							 									Ruby
							 									Ruby On Rails 4
							 
Ruby on rails 如何在Amazon Elastic Beanstalk单容器Docker环境中运行Rails迁移和种子植入
									Ruby On Rails
							 									Docker
							 
Ruby on rails Rails中的多个连接表
									Ruby On Rails
							 									Forms
							 									Model
							 
Ruby on rails Rails服务器启动后立即退出<；未定义方法>；
									Ruby On Rails
							 									Ruby
							 
Ruby on rails 计算rails中有多少对象属于父对象
									Ruby On Rails
							 									Ruby On Rails 4
							 									Activerecord
							 
Ruby on rails summernote样式标签和工具栏
									Ruby On Rails
							 
Ruby on rails 加入两个协会
									Ruby On Rails
							 									Activerecord
							 
Ruby on rails 使用循环查询重构
									Ruby On Rails
							 									Ruby
							 									Activerecord
							 
                                                        
                                                

                                                
                                                        Tags
                                                        
Ios6
Apache2
Web Applications
Sas
Wcf
Kibana
Jenkins
View
Linq
Apache Storm
Visual Studio
Rdf
File
Chef Infra
Calendar
Ms Access
3d
Openlayers
Cron
Uml
Gulp
Knockout.js
Merge
Nest
Netbeans
Character Encoding
Spring Boot
Phpunit
Stream
Bazel
Rust
For Loop
Smtp
Xcode4
Dictionary
.net Core
Sonarqube
Reporting Services
Grafana
Adobe
Processing
Stata
Firebase
Pagination
Asp.net Mvc 5
Xamarin.forms
Cmake
Jboss
Google Api
Pyspark
Jdbc
Uiview
Python 2.7
Liferay
Air
.net 4.0
Apache Kafka
Dynamic
Powershell
Filesystems
Mariadb
List
Plot
Jar
Google Cloud Dataflow
Sed
Iis
Time
Jasper Reports
Titanium
Cobol
Apache Zookeeper
Windows
Lotus Notes
Redirect
Windows 8
Checkbox
Makefile
Jasmine
Cypress
Jsf
Big O
Interface
Git
Com
Usb
Localization
Python Sphinx
Hive
C++
Opengl Es
Generics
Python
Antlr
Architecture
Laravel 4
Vector
Google Visualization
Outlook
Canvas
Graphql
Latex
Gnuplot
Cors
Editor
Sprite Kit
Network Programming
Vb6
Woocommerce
Activemq
Process
E Commerce
Swing
Swift2
Performance
Jqgrid
Sencha Touch 2
Typescript
Numpy
Https
Jsp
Bash
Random
Image Processing
Web Scraping
Pine Script
Django Models
Ruby On Rails 4
Gremlin
Responsive Design
Stanford Nlp
Properties
Pandas
Datetime
Keycloak
Apache Pig
Django Rest Framework
Encryption
Pycharm
Asterisk
Google Maps
Javafx
Rally
Magento2
Microsoft Graph Api
Workflow
Functional Programming
Url
Aws Lambda
Error Handling
Artificial Intelligence
Mysql
Version Control
Data Structures
Assembly
Ios7
Login
Subsonic
Azure Sql Database
Twilio
Osgi
Xamarin.ios
Statistics
C# 3.0
Ibm Mobilefirst
Tinymce
Binding
Ip
Julia
Robotframework
Keyboard
Arduino
Internet Explorer 8
Macos
Google Apps Script
Pascal
Cloud
Smalltalk
Ide
Firefox
Typo3
Frameworks
Nestjs
Websphere
Alfresco
Neural Network
Pytorch
Video Streaming
Permissions
String
Ffmpeg
Bots
Imagemagick
Dns
Inheritance
Oracle Apex
Sql Server 2005
Sequelize.js
Swiftui
Webstorm
Highcharts


                

                        
						
                        
                                
                                        
                                                
                                                        
                                                                Copyright © 2024. All Rights Reserved by  - Fatal编程技术网