安全存储html rails

Question

我有一个rails4应用程序，我在数据库中存储url。当rails退出时，当我再次尝试调用它时，链接将不再可用。

所以我使用：

<%=@product.url.html_safe%>

但XSS不易受攻击吗？我也阅读了raw（），但它似乎与html_safe做了相同的事情？

社区 · Accepted Answer · 2017年5月23日12:27:18Z

1

您可能会使用URI组件确保URL被转义：

<%=URI.parse@product.url%>

然而，这最好放在验证中：

社区机器人程序

11枚银质徽章

回答2014年5月19日22:19

37.7万33枚金徽章154枚银徽章235枚青铜徽章

添加评论 |

BroiSatse公司 · Accepted Answer · 2014年5月19日22:24:45Z

1

如果我是你，我会在url上添加验证以确保它是有效的url：

类别产品<AR:：基本验证：valid_url私有的定义valid_url如果url.blank则返回？|！url已更改URI解析url救援URI:：InvalidURIErrorerrors.add:url，：无效结束结束

有了这一点，您可以确定没有XSS的可能性。

回答2014年5月19日22:24

BroiSatse公司

44.5公里8枚金徽章62枚银徽章88枚青铜徽章

添加评论 |

2个答案2