我阅读并测试了simple_format允许某些 html 标签。
是否足够安全以再次保护 xss?(假设我不介意用户将 html 放在使他们的文本漂亮)这会导致 xss 吗?还是我应该坚持h方法?
问问题
720 次
1 回答
1
看起来 Rails 4.0.0 和 4.0.1 中存在一个漏洞,现在已经解决,所以它应该是安全的。这是该问题的链接:https ://groups.google.com/forum/#!topic/ruby-security-ann/5ZI1-H5OoIM
于 2016-05-05T17:29:12.777 回答