从 Rails 中清理 JSON 的最佳方法

【问题标题】:Best way to sanitize JSON from Rails从 Rails 中清理 JSON 的最佳方法
【发布时间】:2011-10-15 05:59:14
【问题描述】:

RoR 3 自动清理 ERB 模板(如果操作正确)。但是,我有一个小项目,我仅将 RoR 用于应用程序层,将 javascript 用于演示。因此,典型的请求是对 rails 路由的 ajax 调用并呈现返回的 json。问题是我目前可以注入 js,创建一个标题为 <script>alert('hello')</script> 的新产品,并在下一个请求时按原样返回,浏览器会愉快地解释脚本。

是不是最好

  1. 清理帖子中的输入?
  2. 清理服务器上的 json 响应? (覆盖 to_json?)
  3. 清理客户端上的 json 响应?

感谢任何意见。

【问题讨论】:

    标签: json ruby-on-rails-3 sanitize


    【解决方案1】:

    在向页面附加数据时,您应该在内容客户端对 HTML 实体进行编码。

    问题是,您的其他产品字段是否有意包含也会被编码的链接或段落标签等标记?如果是这种情况,并且您打算在页面上将 json 响应的某些部分呈现为 HTML,那么您应该在创建新产品时清理您的输入,并限制 HTML您允许特定子集的标签,然后擦掉它们的属性。有一些库可以自动执行此过程,例如 sanitize gem

    【讨论】:

    • 感谢您的周到回复。我将有一些模型属性,其中可能包含用户提供的标记。所以,我选择了一个观察者来清理 before_validation。
    • sanitize gem 很棒,但不会在 JRuby 等替代环境中构建,因为作者选择不支持它,所以更详细的解决方案会更好。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 2022-01-27
    • 2016-06-18
    • 2010-11-15
    • 1970-01-01
    • 2020-04-17
    • 2012-04-27
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode