在 Rails 3 中存储生成的 HTML 并防止 XSS 攻击

【问题标题】:Storing generated HTML and preventing XSS attacks in Rails 3在 Rails 3 中存储生成的 HTML 并防止 XSS 攻击
【发布时间】:2013-02-13 14:26:01
【问题描述】:

我正在编写一个应用程序,其中在浏览器中执行大量繁重的计算以生成和格式化一些内容。生成的内容是我想保存在服务器上的 HTML(结构、链接、计算结果等)。它没有任何 javascript 或 CSS(在样式标签中)。

是否有 Rails 方法或插件可以在模型的 before_saveafter_initialize 方法中使用,以从内容中剥离 javascript/css 并将其安全地发送回浏览器(通过 JSON,仅供参考),同时防止 XSS 攻击,给定内容的简单结构?

【问题讨论】:

    标签: ruby-on-rails xss


    【解决方案1】:

    我个人使用Sanitize gem。使用此 gem,您可以配置您想要允许的 HTML 元素和属性,并且 gem 将删除任何其他内容。

    我会说这对于您的应用来说是一个不错的选择,因为由于您希望允许一些 HTML 但不允许使用 Javascript/CSS,那么考虑到有多种方法狡猾地将 Javascript/CSS 注入 HTML。

    【讨论】:

      猜你喜欢
      • 2022-01-08
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 1970-01-01
      • 2023-03-04
      • 1970-01-01
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode