gpt4 book ai didi

ruby-on-rails - strip_tags(unsafe_string).html_safe 安全吗?

转载 作者:太空宇宙 更新时间:2023-11-03 16:47:57 29 4
gpt4 key购买 nike

我们想让我们的用户在他们的内容中使用 html 实体,但又不想暴露在脚本攻击之下。因此,我们使用以下内容:

strip_tags(unsafe_string).html_safe

据我所知,只要输出中不出现 valid 标签,它应该是安全的。另一方面,当浏览器呈现无效标签时,我可以想象这种情况,助手不会对其进行清理。我应该担心吗?

谢谢。

最佳答案

显然它不应该逃脱 &< , 所以它是 html_safe假的应该是正确的。所以你不应该将它标记为 html_safe。

但是,最新版本的 Rails 开始转义这两个字符,这被认为是一个错误,但从 Rails 4.2.5.2 ( https://github.com/rails/rails-html-sanitizer/issues/28 ) 开始还没有修复

关于ruby-on-rails - strip_tags(unsafe_string).html_safe 安全吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/29300599/

29 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com