我们希望让我们的用户在其内容中使用html实体,但不希望暴露于脚本攻击。所以,我们使用以下内容:
strip_tags(unsafe_string).html_safe
据我所知,只要输出中不出现有效标记,它应该是安全的。另一方面,当浏览器呈现无效标记时,我可以对图像进行成像,这些标记将不会被帮助程序清理。我应该关注那个吗?
感谢。
答案 0 :(得分:0)
显然它不应该逃脱&或<,因此它的html_safe是假的,应该是正确的。所以你不应该把它标记为html_safe。
但是,最近版本的Rails开始逃避这两个字符,这被认为是一个错误,但从Rails 4.2.5.2(https://github.com/rails/rails-html-sanitizer/issues/28)
开始还没有修复