2
我閱讀並測試了simple_format
允許使用某些html標籤。Rails中的simple_format helper足以防止xss?
是否足夠安全以保護xss? (假設我不介意用戶將把HTML,使他們的文字漂亮)這可能導致xss?或者我應該保持與h
方法?
我閱讀並測試了simple_format
允許使用某些html標籤。Rails中的simple_format helper足以防止xss?
是否足夠安全以保護xss? (假設我不介意用戶將把HTML,使他們的文字漂亮)這可能導致xss?或者我應該保持與h
方法?
看來現在已經解決了rails 4.0.0和4.0.1中的漏洞,所以它應該是安全的。這裏有一個問題的鏈接:https://groups.google.com/forum/#!topic/ruby-security-ann/5ZI1-H5OoIM
你不能同時使用'h'方法*和*使用'simple_format'。它們是互斥的。 – meagar
我想消毒以保持xss不在,但我想也允許某些標籤(特別是保持行斷開用戶輸入)。 –
然後使用'simple_format'。正如文件所述,它試圖消除其輸入。 – meagar