Я использую текстовый редактор (CKEditor), и у меня есть возможность позволить пользователям создавать профили, которые отображаются для других пользователей.
Многие атрибуты, которыми может управлять CKEditor, теряются, когда я отображаю их как:
<%= sanitize(profile.body) %>
Мой вопрос: безопасно ли разрешать анализ атрибута 'style'? Это позволит отображать такие вещи, как цвет текста, размер, цвет фона, центрирование, отступ и т. Д. Я просто хочу быть уверен, что это не позволит хакеру получить доступ к тому, о чем я не знаю!