我有:
<%= f.text_area :body,:class=>"form-control",:placeholder=>"Your comments",:rows=>"5"%>
我想使用regex验证此字段,以便没有用户可以在其中输入HTML内容。
答案 0 :(得分:0)
有一种用于转义HTML和JS escapeHTML或其别名h的内置方法。有关XSS的详细信息,请查看Rails Security Guide。
因此,可以在将信息保存到数据库之前使用这些方法。
答案 1 :(得分:0)
最后我从http://api.rubyonrails.org/classes/ActionView/Helpers/OutputSafetyHelper.html获得了safe_join辅助方法。我在控制器中使用它作为:
include ActionView::Helpers::OutputSafetyHelper
def create
@comment.body=safe_join([@comment.body])