0
我想補充微小的MCE在我的Rails應用程序,因此每個用戶可以添加一個崗位和樣式使用此工具的文本,有一個危險,如果我允許因爲當我顯示用戶的帖子,有必要使用的東西像這樣允許用戶使用Tiny MCE添加內容是否安全?
<%= post.content.html_safe %>
A
回答
0
我知道這是一個老問題,但我認爲如果有人正在尋找答案,我會回答。使用html_safe(或原料)顯示用戶添加的內容時並不總是一個好主意,因爲它使你容易受到攻擊(如果我們假設你的用戶不都是好人;)),但有一個導軌幫手叫的sanitize( http://api.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html#method-i-sanitize),它只是你所需要的,它可以和tinymce編輯器的輸入一起工作。你可以像這樣使用它:
<%= sanitize post.content %>
相關問題
- 1. 如何使用Tiny Mce編輯內容
- 2. Django添加tiny-mce
- 3. tiny mce發佈內容
- 4. tiny MCE添加字體下拉列表
- 5. 調整Tiny MCE
- 6. 允許所有內容安全策略?
- 7. SSRS安全添加許多用戶
- 8. 使用Tiny MCE格式化問題
- 9. tiny mce display rails 3
- 10. 火力地堡安全規則 - 允許讀取僅用於用戶的內容
- 11. 是否允許客戶端直接連接到rabbitmq並使用隊列安全?
- 12. 允許用戶上傳內容到s3
- 13. JupyterHub內核是否安全跨用戶?
- 14. 內容安全策略允許內聯樣式不帶不安全內聯
- 15. 多租戶,這個過程是否安全添加用戶?
- 16. 安全登錄,不允許用戶使用URL導航
- 17. 如何使用Tiny MCE添加WordPress自定義帖子類型字段
- 18. WPF Datagrid允許用戶添加行
- 19. 網頁上的安全性將允許用戶動態地添加javascript
- 20. 如何設置安全性以允許匿名用戶添加ploneboard 3對話
- 21. eclipse che是否允許用戶managemnt
- 22. 內容Web窗體不允許添加內容
- 23. Drupal:允許用戶使用表格註冊內容
- 24. wcf:添加用戶名到郵件頭是否安全?
- 25. 在富文本編輯器中添加背景圖片tiny mce
- 26. 使用Ckeditor或tiny mce在asp.net中用html上傳圖像
- 27. Drupal:爲了使用$ _SESSION,在用戶表中添加uid = 0是否安全?
- 28. Eclipse是否允許添加客戶按鈕/命令?
- 29. Nginx允許不安全的內容在頁面上
- 30. 當動態加載js時,tiny mce無法被引用
不得不刪除我的答案。我認爲你是對的,它可能是危險的。 –