2013-02-13 62 views
1

我正在編寫一個應用程序,在瀏覽器中執行大量重負載計算以生成和格式化一些內容。生成的內容是我想要保存在服務器上的HTML(結構,鏈接,計算結果等)。它沒有任何JavaScript或CSS(風格標籤)。存儲生成的HTML並防止Rails 3中的XSS攻擊

有一個Rails方法或插件,我可以在模型的before_saveafter_initialize方法使用,從內容剝離的JavaScript/CSS和安全地發送回瀏覽器(通過JSON,FYI),同時防止XSS攻擊,考慮到內容簡單的結構?

回答

2

我個人使用的是Sanitize的寶石。使用這個寶石,你可以配置你想要允許的HTML元素和屬性,並且寶石將剝離其他東西。

我想說這對你的應用來說是個不錯的選擇,因爲既然你想允許一些HTML但不允許Javascript/CSS,那麼基於完整的HTML解析器的消毒器很可能是最好的選擇,因爲有很多方法狡猾和注入JavaScript/CSS到HTML。