Je ne fais que commencer avec RoR (et le développement web en général).
Je sais que lors de la sortie des données fournies par l'utilisateur, nous devrions y échapper avec l'aide h()
.
Existe-t-il un moyen de s'assurer que toutes les données de formulaire (paramètres?) Reçues par une action sont garanties d'être échappées automatiquement? (Je comprends que c'est une sage décision d'échapper HTML lors de l'affichage dans une vue, ce que je ferai dans tous les cas).Comment faire pour échapper automatiquement HTML dans Ruby on Rails?
2
A
Répondre
3
Je ne sais pas si c'est la réponse que vous cherchiez, mais vous pouvez le faire en mettant à jour votre application à rails3 - en citant Ryan Bates "In Rails 3, cependant, la sortie est échappée automatiquement donc il n'y a pas besoin de mettre la méthode h "- lire le asciicast ou regarder le railscast :)
Questions connexes
- 1. Comment faire pour chercher dans Ruby on Rails?
- 2. Comment faire en Ruby on Rails
- 3. Ruby on Rails Gem
- 4. Comment faire pour exécuter Ruby on Rails sur App Engine
- 5. Ruby on Rails XML
- 6. Ruby on Rails Générateur de table HTML
- 7. Dans Ruby on Rails, comment convertir du html en word?
- 8. Comment faire un patch de singe dans Ruby on Rails?
- 9. Comment maîtriser Ruby on Rails
- 10. CMS pour Ruby on Rails
- 11. Comment faire pour échapper des caractères spéciaux HTML dans Java?
- 12. Ruby on Rails et prévention XSS
- 13. Ruby on Rails ERB Question
- 14. Comment utiliser && in dans Ruby on Rails?
- 15. Comment utiliser https dans Ruby on Rails
- 16. configuration ruby on rails
- 17. Application Ruby on Rails
- 18. Comment installer Ruby on Rails?
- 19. Analyser dans Ruby (on Rails)
- 20. Ruby On Rails chemins
- 21. Ruby on Rails Time.now
- 22. Dans Ruby on Rails, comment rendre JSON?
- 23. Ruby on Rails: Concombre: comment faire une seule fonction?
- 24. créer des helpers html personnalisés dans ruby on rails
- 25. Affichage WYSIWYG comme HTML dans la vue - Ruby on Rails
- 26. NoMethodError dans Ruby on Rails
- 27. Comment faire une recherche OR SQL avec Ruby on Rails?
- 28. Boîtier/Interrupteur Ruby on Rails. Comment faire correspondre à l'objet?
- 29. Ruby on Rails - paramètre tronquer
- 30. Recherche dans Ruby On Rails
Merci, c'est une bonne nouvelle sur le front de" sortie ", mais je me demandais s'il était possible de faire l'échappement de telle sorte que même l'action obtiendrait seulement HTML texte escamoté? (Aimerait utiliser Rails 3.0 mais il semble y avoir des problèmes avec mysql2 gem qui ne fonctionne pas avec ça :() – Zabba
On dirait qu'il y a un plug pour cela (pour RoR 2.3.7+, je crois) appelé rails_xss. pour vos entrées! – Zabba