レールで属性値をサニタイズする最良の方法は何ですか?レールで属性値をサニタイズする方法
<img alt="<%= h 'untrusted-data' %>" src="image-source-here" />
私はHTML共通に信頼されていないデータを挿入する前owasp.net XSS prevention cheat sheet.
html_escapeメソッドは目的には十分ですか?何らかの理由でTagHelper
で提供されているtag
メソッドを使用できません。 Rails 2.3.5バージョンを使用しています。
ルービのエンコーダin owasp。 encode_for_html_attrを参照してください。 https://github.com/thesp0nge/owasp-esapi-ruby/blob/master/lib/codec/encoder.rb – Erlend