Я использую Rails 3 и Ruby 1.9.2. Я делаю что-то особенное, когда я отображая содержание моего поста, я просто делаюRails - javascript-инъекции
<%[email protected]%>
Когда я добавляю
"<script language='javascript'>alert('test');</script>"
к моему сообщению форме, конечно, он выполняет яваскрипт предупреждения !
Я попытался добавить html_safe
как перед сохранением, так и перед отображением, но ничего не исправить.
Если мне нужно добавить какой-либо защитный код, должен ли я добавить его перед сохранением сообщения или перед его отображением? Я слышал, что рельсы 3 делают это сами, поэтому я не слишком беспокоился о безопасности, но, я думаю, до сих пор есть некоторые основные вещи, с которыми нужно быть осторожными.
Это зависит. Пожалуйста, покажите нам свой код. – SLaks
Я добавлю это через несколько минут ... –
Обратите внимание, что вы должны ** НЕ использовать ** html_safe' в этом случае. Выполняется javascript ** BECAUSE ** вы используете 'html_safe'. 'html_safe' означает« Этот HTML-код безопасен, поэтому вам не нужно его избегать ». Если вы избавитесь от своих вызовов 'html_safe', Rails по умолчанию позаботится об угрозе потенциально вредоносного контента. – Mischa