我有一个文本区域,允许用户输入他们的汽车描述。
它保存为 :text ,当被调用时,我将通过 ApplicationHelper 呈现如下:
module ApplicationHelper
def markdown(text)
renderer = Redcarpet::Render::HTML
@engine = Redcarpet::Markdown.new(renderer,
hard_wrap: true,
filter_html: true,
autolink: true,
no_intra_emphasis: true
)
@engine.render(text)
end
end
作为偏执狂,我尝试在我的文本区域中输入类似的内容。
Markdown.
__Nice.__
<%= @car %>
<script>
alert('damn');
</script>
虽然<%= @car %>没有解析为 ruby 代码,但脚本确实被执行了。
在我看来:
<%= markdown(@car.description).html_safe %>
我想知道这是否是处理红地毯的正确方法;这种机制是否容易受到任何攻击,我该如何预防?
最好的