在Rails应用程序中,我通过Mailgun的POST请求接收电子邮件,然后将它们保存到数据库中。保存的属性之一是电子邮件消息的字符串化HTML内容。我希望在视图中以原始格式(或接近它)显示此HTML。
如何安全地转换和呈现此HTML,而不会让自己受到XSS攻击?
到目前为止,我已尝试过:
<%= lead_email.html %> - 只显示原始HTML标记为字符串。<%= raw lead_email.html %> - 呈现HTML,看起来很棒,但我没有受到保护。<%= sanitize lead_email.html %> - 删除太多标签。我尝试指定标记以保留在清理方法中,但它似乎也遇到了<!-- comments -->的问题。