我正在使用Ruby on Rails 3.0.7,我想在视图文件中填充HTML href标记的a属性值。
<a href="<populating_value>">Test name</a>
我打算从输入表单文本字段中检索该值(“<populating_value>”)。
什么是最安全的进程(从验证到输出在视图文件中的步骤)才能实现?我在哪里可以找到有关此事的深层信息?您有什么建议(例如:如果没有先前对用户输入的字符串进行安全检查,是否可以安全地填充href属性值?)?
注意:值可以是URL或电子邮件地址。
答案 0 :(得分:0)
使用link_to并转义字符串有什么问题?如果您不确定字符串安全,请拨打link_to "Test name", h(link)请参阅http://api.rubyonrails.org/classes/ActionView/Helpers/UrlHelper.html#method-i-link_to以获取更多信息。
即使没有调用h,也应该转义此字符串。请尝试在XSS protection in Rails上阅读此博文。