Question

我想使用RedCloth gem，我安装它，在我的宝石文件中我把 - ＆gt;宝石'红砖' 在我的show.html.erb中，我把 - ＆gt;

<%= RedCloth.new(@post.text).to_html %>

我看到简单的html语法，比我使用

<%= raw RedCloth.new(@post.text).to_html %>

它完美无缺，不安全 @ post.text - ＆gt;由某些用户提出

当我放<script> alert('!!!') </script>时，我看到了“!!!”在警报

如何安全地使用RedCloth（或推荐另一个gem）

Answer 1

清理宝石https://github.com/rgrove/sanitize/是将某些html元素列入白名单并阻止其他元素的明确选择（例如）