0
RoR 3自動清理ERB模板(正確完成時)。但是,我有一個小項目,我只將RoR用於應用程序層,而javascript用於演示文稿。所以,典型的請求是ajax調用rails路徑並呈現返回的json。問題是,目前我有可能注入js,創建一個標題爲<script>alert('hello')</script>
的新產品,並且按照下一個請求返回,並且瀏覽器愉快地解釋腳本。從Rails消毒JSON的最佳方式
它是最好
- 消毒後上的投入?
- 清理服務器上的json響應? (覆蓋to_json?)
- 消毒客戶端上的json響應?
我很欣賞任何輸入。
謝謝你的深思熟慮的迴應。我將有一些模型屬性可能包含用戶提供的標記。所以,我選擇了一個觀察者來清理before_validation。 –
淨化寶石非常棒,但不會在JRuby等其他環境中構建,因爲作者選擇不支持它,所以更詳細的解決方案會更好。 – rcd