У меня есть часть, содержащая этот код sanitize ():
<%= sanitize comment.body,
:tags => %w(a b embed i img object p param),
:attributes => %w(allowfullscreen allowscriptaccess href name src type value) %>
Я бы хотел, чтобы пользователи могли вставлять видео, ссылки, изображения, использовать курсив, полужирный и т. Д.
Насколько это небезопасно, и если я размещу это на живом веб-сайте, чего мне ожидать или быть готовым иметь дело?
Примечание: предполагается, что нет никакой дезинфекции ввода.
Спасибо за чтение.