Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/csharp-4.0/2.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Ruby on rails 在Rails 3中存储生成的HTML并防止XSS攻击_Ruby On Rails_Xss - Fatal编程技术网
Fatal编程技术网
  • ruby-on-rails/
  • Ruby on rails 在Rails 3中存储生成的HTML并防止XSS攻击

Ruby on rails 在Rails 3中存储生成的HTML并防止XSS攻击

ruby-on-rails

Ruby on rails 在Rails 3中存储生成的HTML并防止XSS攻击,ruby-on-rails,xss,Ruby On Rails,Xss,我正在编写一个应用程序,在浏览器中执行大量繁重的计算,以生成和格式化一些内容。生成的内容是我希望保存在服务器上的HTML(结构、链接、计算结果等)。它没有任何javascript或CSS(在样式标记中) 考虑到内容的简单结构,在模型的保存之前或初始化之后,我是否可以在模型的方法中使用Rails方法或插件从内容中剥离javascript/css并安全地将其发送回浏览器(通过JSON,仅供参考),同时防止XSS攻击?我个人使用gem。使用这个gem,您可以配置您想要允许的HTML元素和属性,并且ge

我正在编写一个应用程序,在浏览器中执行大量繁重的计算,以生成和格式化一些内容。生成的内容是我希望保存在服务器上的HTML(结构、链接、计算结果等)。它没有任何javascript或CSS(在样式标记中)

考虑到内容的简单结构,在模型的
保存之前或
初始化之后,我是否可以在模型的
方法中使用Rails方法或插件从内容中剥离javascript/css并安全地将其发送回浏览器(通过JSON,仅供参考),同时防止XSS攻击?
我个人使用gem。使用这个gem,您可以配置您想要允许的HTML元素和属性,并且gem将删除任何其他内容

我认为这对你的应用来说是一个不错的选择,因为既然你想允许一些HTML,但不允许Javascript/CSS,那么基于成熟的HTML解析器的消毒剂很可能是最好的选择,因为有很多方法可以巧妙地将Javascript/CSS注入HTML