2


0

simple_formatを使用する場合、ビューに表示するための入力をサニタイズする

改行とリンクが表示されるようにコメントを表示する正しい方法を見つけようとしています。 通常、h()でhtmlをエスケープする場合にのみユーザー入力を表示する必要があることを知っています。 もちろん、改行やリンクは表示されないので、simple_formatメソッドとauto_linkメソッドを見つけました。

私が今していることは:simple_format(santize(auto_link(comment.text)))

これは正しい方法ですか?XSS攻撃からまだ安全ですか?

ありがとうございます。 Eric

1 Answer


0


最後のryanbスクリーンキャストをご覧くださいhttp://railscasts.com/episodes/204-xss-protection-in-rails-3[XSS Protection in Rails 3]

乾杯