0

我想使用 RedCloth gem,我安装它,在我的 gemfile 中我放 -> gem 'RedCloth' 在我的 show.html.erb 我放 ->

<%= RedCloth.new(@post.text).to_html %>

我看到了简单的 html 语法,而不是我使用的

<%= raw RedCloth.new(@post.text).to_html %>

它工作完美,它不安全
@post.text -> 某些用户放置

当我输入时,<script> alert('!!!') </script>我看到了“!!!” 处于警戒状态

如何安全使用 RedCloth(或推荐其他宝石)

4

1 回答 1

0

sanitize gem https://github.com/rgrove/sanitize/是仅将某些 html 元素列入白名单并阻止其他元素(例如)的可靠选择

于 2012-08-28T13:56:28.687 回答