我有一个搜索功能,可以搜索项目列表。我的搜索从简单的GET请求中返回结果。在页面上,我想向用户显示他们的查询。在我的控制器中,我可以这样检索他们的查询:
def search
@query = params[:query]
end
在我看来,如果仅将<%= @query %>放入HTML中,则可能会创建XSS漏洞。如何清除此参数以在视图中使用?
答案 0 :(得分:0)
这是您需要的吗? https://edgeapi.rubyonrails.org/classes/ActionView/Helpers/SanitizeHelper.html
<%= sanitize(@query) %>