0

我在我的 Ruby on Rails 应用程序中使用 FCKEditor。用户使用 FCKEditor 添加博客文章。

然后我使用显示博客文章

@blog.body.html_safe

我知道 FCKEditor 正在转义任何 javascript 代码,但是如果用户使用直接参数发布请求并设置包含一些 javascript 的博客文章正文怎么办。这可能是安全漏洞。

知道如何安全地使用 FCKEditor 和 Rails 吗?

4

1 回答 1

0

我们可以使用白名单 HTML sanitizer 来转义除一些格式化标签之外的所有标签。

消毒

于 2012-04-01T13:21:54.123 回答