Заполнение значения атрибута `href` HTML-тега` a` самым безопасным способом

Question

Я использую Ruby on Rails 3.0.7, и я хотел бы заполнить значение атрибута href тега HTML a в файле представления.

<a href="<populating_value>">Test name</a>

Я планирую получить это значение («<populating_value>») из текстового поля формы ввода.

Что такое самый безопасный процесс (от проверки до вывода в файл представления) для этого? Где я могу найти подробную информацию по этому вопросу? Что вы посоветуете (например: безопасно ли заполнять значение атрибута href без предварительной проверки безопасности введенной пользователем строки?) ?

Примечание : значение может быть URL-адресом или адресом электронной почты.

Answer 1

что не так с использованием link_to и экранированием строки? Если вы не уверены в безопасности строк, вызовите что-то вроде link_to "Test name", h(link) См. http://api.rubyonrails.org/classes/ActionView/Helpers/UrlHelper.html#method-i-link_to для получения дополнительной информации.

Эта строка должна быть экранирована даже без вызова h. Попробуйте прочитать этот пост в блоге о XSS-защите в Rails .