Quelle est la meilleure solution pour assainir la sortie HTML dans Rails (pour éviter les attaques XSS)?Désactiver la sortie dans Rails
J'ai deux options: plugin white_list ou méthode sanitize de Sanitize Helper http://api.rubyonrails.com/classes/ActionView/Helpers/SanitizeHelper.html. Pour moi jusqu'à aujourd'hui, le plugin white_list fonctionnait mieux et dans le passé, Sanitize était très buggé, mais dans le cadre du Core, il sera probablement en cours de développement et sera supporté pendant un certain temps.
Cette solution semble vieille. Peut-être une meilleure couverture est ici: http://stackoverflow.com/questions/2985600/how-good-is-the-rails-sanitize-method – Purplejacket