我已将数据作为html内容存储在数据库中。
每当用户输入内容时,它将注入我的html。
在存储到db之前应该怎么做,我需要清理数据。或者我可以存储任何数据。在只显示视图时,我需要做一些注射操作。
答案 0 :(得分:2)
我建议您参考XSS跨站点脚本cheatsheet
尤其是Rails,如所述:
SanitizeHelper模块提供了一组用于清理不需要的HTML元素的文本的方法。
<%= sanitize @comment.body, tags: %w(strong em a), attributes: %w(href) %>