[ruby on rails]使用raw、html_safe和sanitize使html输入不脱逸

已于 2022-04-15 23:31:40 修改
阅读量473 收藏
点赞数
分类专栏: ruby on rails 文章标签: ruby on rails
于 2019-03-31 18:31:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41037744/article/details/88933076
版权 
<%= raw @event.description %>
<%= @event.description.html_safe %>

使用raw和html_safe可以使输入的html代码完整输出,但也会使输入的js代码完整输出,会造成XSS 跨站脚本攻击,除非知道输入的人是自己人,不会黑自己的网站,否则用sanitize替代

 <%= sanitize @event.description %>

sanitize默认的白名单是

 - 允许的 HTML 标籤 strong em b i p code pre tt samp kbd var sub sup dfn cite big small 
address hr br div span h1 h2 h3 h4 h5 h6 ul ol li dl dt dd abbr acronym a img 
blockquote del ins
 - 允许的 HTML 属性 href src width height alt cite datetime title class name xml:lang abbr

如果要将 table 跟 style 加入白名单,我们需要自己加。请修改 config/application.rb

config.action_view.sanitized_allowed_tags = Rails::Html::WhiteListSanitizer.allowed_tags + %w(table tr td)
config.action_view.sanitized_allowed_attributes = Rails::Html::WhiteListSanitizer.allowed_attributes + %w(style border)
# or
config.action_view.sanitized_allowed_attributes = Rails::Html::SafeListSanitizer.allowed_attributes.merge(['style', 'color'])
config.action_view.sanitized_allowed_tags = Rails::Html::SafeListSanitizer.allowed_tags.merge(['table', 'thead', 'tbody', 'tr', 'td', 'font'])
微信-yangfansky
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Platinum:Ruby on Rails 版本的玩家联盟和团队管理系统
05-31
Platinum 是一个 Ruby on Rails 应用程序,来管理联赛注册、名单、日程安排和结果跟踪。 它是自 2001 年之前一直使用的平台的最新演变。该应用程序自 2013 年以来一直在开发中。开发设置Platinum 在开发和生产中都...
Railshtml_escape和sanitize
03-01
博文链接:https://sharpkit.iteye.com/blog/247040
html_safe
ruby 闲谈
01-12 946
html_safe: 可以保证(> < & )这样的html代码转义。 举个例子: 在helper.rb中 这样的"html_safe使用"代码,会被转换为 &lt;h1&gt;html_safe使用&lt;/h1&gt;,也就是说最后显示的效果依然是 html_safe使用,而加上html_safe,那么他将不会转义,将作为html代码。...
Rails中的rawhtml_safesanitize
ミ安之偌素
10-25 1810
html_safe Marks a string as trusted safe. It will be inserted into HTML with no additional escaping performed. It is your responsibility to ensure that the string contains no malicious content. This
Rails关闭html_safe字符串过滤
享受开发,颠倒银河
01-17 1269
在某些情况下我希望html的文本中包含一些空格,因为html5产生空格的方法是插入 <br />所以我可以这么写:text = "hello world!<br />hello hopy!!!"下面我在html.erb里这么写:<h1><%= text%></h1>在浏览器打开html你会发现,你得到的不是想要的结果,你会看到:hello world!<br />hello hopy!!! 而不是
html_saferawsanitize和h()
OldLock的专栏
08-11 836
html_saferawsanitize和h() Rails3后默认设置为溢出html,从而防止因为疏忽而造成跨站脚本攻击XSS。 那么什么是跨站脚本攻击呢?比如我们最常见的评论系统,假设某个恶意用户在评论中输入这样一个脚本并提交 stript>...stript> 其中...为一段恶意的脚本。如果不做溢出的话,这个评论不会作为普通的字符串显示在浏览器上,而是会去执行.
Rails sanitize
weixin_34111819的博客
12-14 118
TheSanitizeHelpermodule provides a set of methods for scrubbing text of undesired HTML elements. These helper methods extend Action View making them callable within your template files. 只允许 s...
无线点餐系统的服务端,使用ruby on rails框架
最新发布
04-13
在这个特定的场景中,我们关注的是使用Ruby on Rails框架构建的服务端部分。Ruby on Rails(简称Rails)是一款基于Ruby语言的开源Web应用程序框架,遵循MVC(Model-View-Controller)架构模式,为开发人员提供了快速...
webrtc-hotwire-rails:使用Hotwire和Ruby on Rails的视频聊天应用程序演示
04-29
WebRTC + Hotwire + Ruby on Rails 一个基本的视频聊天应用程序,使用,大量的Hotwire(主要是和 ),并得到Ruby on Rails的支持。它是如何工作的? 刺激室控制器处理Enter按钮的单击。 它获取用户的本地音频和视频...
tcc_produto:TCC上的Ruby on Rails软件开发指南
03-29
TCC上的Ruby on Rails软件开发和信息管理系统。 解释: Ruby在轨6 Postgres Botstrap(模板: ) 链接至文件系统: 。 链接至系统: 。
Ruby on Rails 实战圣经 RAW online
抱朴子
10-19 107
http://ihower.tw/rails3/index.html 引用: 我是ihower,本書介紹Ruby on Rails這套開放原始碼的網站開發框架,預定於2011年下半年出版。如果您有任何意見或勘誤指教,不用怕是初學者(你的問題很可能也是其他新手會碰到的問題),都歡迎來信給我聯絡。 目前的撰寫進度:Part1已完成進入校稿階段,讀者可以照著練習,有任何問題歡迎和我反應...
Django项目web开发 tamlates的 html学习——safe模式autoescape实现转义
weixin_44048169的博客
10-23 158
html的安全转义,将传入的包含Html格式的文件显示出来!!!此方式有很大的风险 将code传递到html中, 并实现浏览器显示该html标签,可调用js实现网站前端被攻击。 def get_students(request): students=Student.objects.all() # 测试模板for循环,传入空字典,时显示empty # students=Student.objects.filter(s_name='aaa') # 直接往上下文中传入字典
ruby 生成html,Ruby on Rails:如何将字符串呈现为HTML
weixin_36379029的博客
06-07 227
Ruby on Rails:如何将字符串呈现为HTML?我有@str = "Hi"在我的观点中:页面上显示的内容是:hello编辑:案例在哪里@str = "hello"如果在我看来我做HTML源代码是hellohello(没有反斜杠转义双引号)。 什么是“unescape”那些双引号的最佳方式?9个解决方案306 votesUPDATE出于安全原因,建议使用raw而不是raw。发生的事情是,作为...
rails 中 String转为html方法rawhtml_safe
maxiaokun55的专栏
03-31 4185
5.1.2 Safe Strings Active Support has the concept of (html) safe strings. A safe string is one that is marked as being insertable into HTML as is. It is trusted, no matter whether it has been escaped
发起http请求raw格式
热门推荐
一个码农的博客
05-26 5万+
周末加班调别人给的接口,总是他的接口报错500。但是用postman调用,设置参数格式为raw的json格式就可以通了,自己的java代码就是不通人家又不加班  自己百度了看看。查到了好办法public static String result; public static void httpTest() throws ClientProtocolException, IOException { ...
Ruby on Rails 之旅(七)—— Ruby on Rails 入门(5)
weixin_33895516的博客
08-12 161
为什么80%的码农都做不了架构师?>>> ...
Ruby中%的用法(百分号的用法)
大毛的部落
05-12 1350
%{String}  用于创建一个使用双引号括起来的字符串 %Q{String} 用于创建一个使用双引号括起来的字符串  %Q!Some String of “Characters”! ” Some String of /”Characters/” “%q{String} 用于创建一个使用单引号括起来的字符串 %q!Some String of “Characters”!
使用rails自带方法去除html标签
u011735591的专栏
05-26 1601
最近需要导出富文本文章到excel(GEM:spreadsheet),数据库存的带有html标签和图片,需要只导出必要的文本,所以有了这个需求其实直接编写一个正则表达式可以解决这个问题,但是重复造轮子是没必要的,在查找rails api (我用的rails4.2+)时,找到了ActionView::Helpers::SanitizeHelper sanitize()这个方法在view中会经常使用但是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值