如何允許軌的JavaScript：在數據

Question

我有廣告HTML的數據庫，其中一些包含JavaScript函數。有沒有辦法讓鋼軌允許javascript：標記特定模型上的特定屬性？

爲了進一步澄清，我可以把HTML了在編輯的形式，但是當我試圖提交，我的瀏覽器（Firefox）說，連接被重置。 IE也給我一個錯誤。唯一允許提交html的是從標籤中刪除javascript：。

我的猜測是，這是Rails的安全措施，不允許JavaScript注入，但是，我有過這些廣告的HTML無法控制，很多的JavaScript在其中。

如果我的猜測是確實是正確的，是有辦法來覆蓋這個模式這一個屬性的安全性？或者我在這裏擺脫目標？

我用Rails 2.3.4關於Ruby 1.8.7

Answer 1

現在，我從來沒有使用的軌道，但這個想法應該是一樣的，你只是想保存的javascript爲一個字符串，然後當你顯示它，不要轉義數據。做到這一點的更好方法是鏈接到您的JavaScript，然後將調用存儲到數據庫中的函數。

Answer 2

沒有看到任何代碼，我猜你正在使用sanitize。考慮傳輸並存儲您的javascript轉義，而不是消毒，然後在實際需要時使用它。