例如,假设我想在通知消息中添加–:
. . .
format.html { redirect_to root_path, notice: "Success – Email sent to: #{@learn_more.email}" }
安全吗?......或者在我看来notice.html_safe是否存在安全隐患?
答案 0 :(得分:0)
如果@learn_more.email来自您网站的用户,那么您应首先对其进行清理。
"Success – Email sent to: #{ERB::Util.h(@learn_more.email)}".html_safe
以上称为html_escape方法。
基本上,在将字符串标记为安全之前,请确保字符串是非恶意的。否则,恶意输入可以进入您的网站。恶意输入类似于用户在其电子邮件中输入javascript标签或类似内容。