标签: ruby-on-rails views xss sanitization html-sanitizing
我正在尝试找出显示评论的正确方法,以便显示换行符和链接。我知道通常,只有在使用h()转义html时才应显示用户输入。那当然不会显示换行符或链接,所以我找到了simple_format和auto_link方法。
我现在正在做的是:simple_format(santize(auto_link(comment.text)))
这是否是正确的方法,是否仍然可以免受XSS攻击?
谢谢! 埃里克
答案 0 :(得分:0)
查看最后一篇ryanb截屏视频XSS Protection in Rails 3
干杯