Как избежать html, iframe и межсайтовой инъекции в рельсах?

Question

Я сохранил данные в своей базе данных в виде содержимого html.

Каждый раз, когда пользователь вводит данные, он вводит мой html.

Что я должен сделать перед сохранением в БД, мне нужно очистить мои данные.Или я могу хранить данные как угодно.При отображении только в поле зрения мне нужно что-то сделать для инъекции.

Answer 1

Я бы порекомендовал вам обратиться к XSS Cross Site Scripting шпаргалке

и, в частности, к Rails, как указано:

Модуль SanitizeHelper предоставляетнабор методов для очистки текста от нежелательных элементов HTML.

<%= sanitize @comment.body, tags: %w(strong em a), attributes: %w(href) %>