我希望我的应用程序在输入而不是显示时清理 html,以便清理保存到数据库中的字段。
我一直在这样做strip_tags,而且效果很好。但是,这有一个缺点,这意味着用户无法输入任何用<and括起来的内容>。
如何在模型中告诉 Rails 在将标签保存到数据库之前安全地转义标签?在视图中使用它们之前,我希望不必h再次调用已清理的字段。
问问题
1072 次
2 回答
1
您可以在过滤器中调用该h方法。before_save
于 2010-05-21T03:50:26.817 回答
1
一种选择是使用插件 xss_terminate:http ://code.google.com/p/xssterminate/
默认情况下,它会从用户输入中删除所有 HTML 标记。
于 2010-05-21T03:53:20.810 回答