标签: ruby-on-rails-3 xss html-sanitizing
我阅读并测试simple_format允许某些html标记。
simple_format
这足够安全再次保护xss吗? (假设我不介意用户会把html用来使他们的文字很漂亮)这可能导致xss?或者我应该使用h方法吗?
h
答案 0 :(得分:1)
看起来rails 4.0.0和4.0.1中存在一个漏洞,现在已经解决了,所以它应该是安全的。以下是该问题的链接:https://groups.google.com/forum/#!topic/ruby-security-ann/5ZI1-H5OoIM