安全的方式只显示用户帖子的链接

时间:2018-05-20 18:45:49

标签: ruby-on-rails ruby xss autolink

我试图允许用户在帖子中发布链接。我使用auto_link gem。

以这种方式从xss和其他攻击中安全吗?

def show_content(content_with_links)
    auto_link (sanitize content_with_links.join(" "), tags: %w(a))
end

1 个答案:

答案 0 :(得分:1)

根据README,它可以防止恶意脚本:

auto_link("Go to http://www.rubyonrails.org <script>Malicious code!</script>")
# => "Go to <a href=\"http://www.rubyonrails.org\">http://www.rubyonrails.org</a> "