0

我正在专门用 ruby​​ on rails 开发一个应用程序,我发现 ruby​​ gem“sanitize”对于清理用户输入非常有用,但它不会删除内联 javascript,这使得它相当无用

我已经完成了这些,但这并没有清理内联 javascript

有没有更好的方法(任何宝石左右)?

4

1 回答 1

1

那么你可以设置一个白名单进行清理,只允许特定的标签和属性,所以我想你已经得到了你想要的东西:

Sanitize.clean(html, :elements => ['a', 'span'],
    :attributes => {'a' => ['href', 'title'], 'span' => ['class']},
    :protocols => {'a' => {'href' => ['http', 'https', 'mailto']}})

摘自 http://wonko.com/post/sanitize

于 2012-09-21T07:07:18.310 回答