我在一个 Rails 应用程序中构建一串 html 以发送到第三方电子邮件服务,如下所示:
table_html = ""
@tickets.each do |ticket|
table_html << "<tr>"
table_html << "<td> #{ticket.number} </td>"
table_html << "<td>#{ticket.section_name} - #{ticket.row_name} </td>"
table_html << "</tr>"
end
一位同事告诉我,在构建这样的 html 时,总是要转义 html 实体,因为存在注入攻击的风险。我了解注入攻击的基础知识,但有人可以解释转义如何降低这种风险,以及我应该用什么来逃避?正在研究使用haml。谢谢!