RedCloth和Rails

时间:2012-08-28 12:25:01

标签: ruby-on-rails redcloth

我想使用RedCloth gem, 我安装它,在我的宝石文件中我把 - >宝石'红砖' 在我的show.html.erb中,我把 - >

<%= RedCloth.new(@post.text).to_html %>

我看到简单的html语法,比我使用

<%= raw RedCloth.new(@post.text).to_html %>

它完美无缺,不安全 @ post.text - &gt;由某些用户提出

当我放<script> alert('!!!') </script>时,我看到了“!!!”在警报

如何安全地使用RedCloth(或推荐另一个gem)

1 个答案:

答案 0 :(得分:0)

清理宝石https://github.com/rgrove/sanitize/是将某些html元素列入白名单并阻止其他元素的明确选择(例如)