Ruby on rails 在Rails 3中存储生成的HTML并防止XSS攻击
我正在编写一个应用程序,在浏览器中执行大量繁重的计算,以生成和格式化一些内容。生成的内容是我希望保存在服务器上的HTML(结构、链接、计算结果等)。它没有任何javascript或CSS(在样式标记中) 考虑到内容的简单结构,在模型的Ruby on rails 在Rails 3中存储生成的HTML并防止XSS攻击,ruby-on-rails,xss,Ruby On Rails,Xss,我正在编写一个应用程序,在浏览器中执行大量繁重的计算,以生成和格式化一些内容。生成的内容是我希望保存在服务器上的HTML(结构、链接、计算结果等)。它没有任何javascript或CSS(在样式标记中) 考虑到内容的简单结构,在模型的保存之前或初始化之后,我是否可以在模型的方法中使用Rails方法或插件从内容中剥离javascript/css并安全地将其发送回浏览器(通过JSON,仅供参考),同时防止XSS攻击?我个人使用gem。使用这个gem,您可以配置您想要允许的HTML元素和属性,并且ge
保存之前或初始化之后,我是否可以在模型的方法中使用Rails方法或插件从内容中剥离javascript/css并安全地将其发送回浏览器(通过JSON,仅供参考),同时防止XSS攻击?我个人使用gem。使用这个gem,您可以配置您想要允许的HTML元素和属性,并且gem将删除任何其他内容
我认为这对你的应用来说是一个不错的选择,因为既然你想允许一些HTML,但不允许Javascript/CSS,那么基于成熟的HTML解析器的消毒剂很可能是最好的选择,因为有很多方法可以巧妙地将Javascript/CSS注入HTML