RoR 3 自动清理 ERB 模板(如果操作正确)。但是,我有一个小项目,我仅将 RoR 用于应用程序层,将 javascript 用于演示。因此,典型的请求是对 rails 路由的 ajax 调用并呈现返回的 json。问题是我目前可以注入 js,创建一个带有标题的新产品,<script>alert('hello')</script>
并在下一个请求时按原样返回,浏览器会愉快地解释脚本。
是不是最好
- 清理帖子上的输入?
- 清理服务器上的 json 响应?(覆盖 to_json?)
- 清理客户端上的 json 响应?
我很感激任何意见。