标签: ruby-on-rails ruby-on-rails-3 fckeditor html-safe
我在Ruby on Rails应用程序中使用FCKEditor。用户使用FCKEditor添加博客帖子。
然后我使用
@blog.body.html_safe
我知道FCKEditor正在逃避任何javascript代码,但是如果用户发布了带有直接参数的请求并设置包含一些javascripts的博客帖子,那该怎么办?这可能是安全漏洞。
任何想法我如何安全地使用FCKEditor和Rails?
答案 0 :(得分:0)
我们可以使用白名单HTML清理程序来转义除一些格式化标签之外的所有标签。
Sanitize