моему приложению rails 3 необходимо принять html-данные и отобразить их, но безопасно!как минимизировать угрозы безопасности?

Question

Одной из функций моего приложения является предоставление пользователю возможности добавлять «кнопку» на своем Facebook или Twitter в свой профиль.

«Очевидный» подход - дать им поле text_area, попросить их вставить «код» в Facebook или Twitter, а затем на их профиле отобразить raw fbk_button_field и raw twitter_button_field

(Facebook - это iframe, твиттер - это ссылка на удаленный ajax).

Но, очевидно, пользователь может вставить в это поле все что угодно, и я предполагаю, что это довольно плохая вещь, которая оставляет систему открытой для множества эксплойтов.

Итак, как правильно разрешить пользователям добавлять «социальные кнопки» в свой профиль, не вставляя вместо этого эксплойт?

Answer 1

Наиболее безопасным решением было бы заставить их войти в свою учетную запись Twitter или Facebook и заново создать кнопку самостоятельно.Таким образом, вы можете легко удалить HTML из имени учетной записи, и вам не о чем беспокоиться.

Хотя вышеприведенный вариант идеален, вы также можете использовать что-то вроде гема sanitize для удаленияHTML-теги и атрибуты.