0
我正在使用Ruby on Rails 3.0.7,並且想要在視圖文件中填充HTML a標記的href屬性值。以最安全的方式填充HTML`a`標記的`href`屬性值
<a href="<populating_value>">Test name</a>
我打算檢索來自輸入表格文本字段值(以下簡稱「<populating_value>」)。
什麼是最安全過程(步驟驗證從在視圖文件輸出)做出的?我在哪裏可以找到關於此事的深層信息?你有什麼建議(例如:如果用戶輸入的字符串沒有以前的安全檢查,填寫href屬性值安全嗎?)?
注意:該值可以是URL或電子郵件地址。
Rails 3處理XSS的東西,會使這個功能易受攻擊。 – basicxman
是的,所有的字符串都應該被消毒,任何進入該函數的字符串都應該被自動轉義除非'string.html_safe? = true' –