假设我正在输出一个帖子标题,在我们的数据库中,它是 Hello Y’all - 我可以不使用 .html_safe 输出它,但是它不会在 html 中输出为 @987654323 @?
也就是说,如果用户从使用印刷正确撇号的文字处理器复制帖子标题,我会得到乱码输出,因为它将数据库中的& 转义为&。当然,我希望将数据库中的标题 Bonnie & Clyde 输出为 Bonnie & Clyde,因为这是正确的 HTML...
有安全的方法吗?
【问题讨论】:
.html_safe 或使用raw(),因为这会打开我们的xss。我只是不希望我的数据库中已经是 html 实体的东西被双重转义。
标签: ruby-on-rails html-entities actionview
使用ActionView::Helpers::SanitizeHelper
<%= "Hello Y’all" %>
<%= sanitize "Hello Y’all" %>
将产生:
Hello Y’all
Hello Y’all
【讨论】:
sanitize 允许 HTML 标记和属性的子集。如果您不想允许这些,请这样称呼它:<%= sanitize("Hello Y&#8217;all", tags: [], attributes: []) %>。这是WhitelistSanitizer 的文档,默认使用:github.com/rails/rails-html-sanitizer#whitelistsanitizer。
SafeBuffer calls ERB::Util.h for strings that aren't html_safe,因此您可以在首次将字符串保存在数据库中时,在 ERB::Util.h(your_string) 上使用 gsub 并将 &amp;[code] 的实例替换为 &[code];。这样你的字符串首先被清理
您需要的电话是ERB::Util.h(your_string).gsub(/&amp;(#x?[\da-fA-F]+;)/, '&\1')
然后,当您需要显示该特定字符串时,请在其上调用 html_safe。
【讨论】:
有 3 种方法可以做到这一点:
1: "string".htmlsafe
2: <%= raw "string" %>
3. <%== "string" %>
我认为您应该使用 作为参数,将 .to_s 应用到它,然后简单地将 html_safe 应用到它。因此使用第二个选项是安全的。
【讨论】:
html_safe,因为用户提交的帖子标题可能包含像<script>alert('foo;')</script>这样的恶意代码
<%= raw "Y&amp;#8217;all" %> 或 <%== "Y&amp;#8217;all" %> 是两种可能。
【讨论】: