我正在编写一个应用程序,其中在浏览器中执行大量繁重的计算以生成和格式化一些内容。生成的内容是我想保存在服务器上的 HTML(结构、链接、计算结果等)。它没有任何 javascript 或 CSS(在样式标签中)。
鉴于内容的简单结构,我可以在模型before_save或after_initialize方法中使用 Rails 方法或插件从内容中剥离 javascript/css 并将其安全地发送回浏览器(通过 JSON,FYI),同时防止 XSS 攻击?
问问题
330 次
1 回答
2
我个人使用Sanitize gem。使用此 gem,您可以配置您想要允许的 HTML 元素和属性,并且 gem 将删除其他任何内容。
我会说这对您的应用程序来说是一个不错的选择,因为由于您希望允许一些 HTML 但不允许使用 Javascript/CSS,那么考虑到有很多狡猾的方法和将 Javascript/CSS 注入 HTML。
于 2013-02-13T15:22:03.063 回答