레일 3.2.x를 사용하고 있으며 다음 코드가 표시되어 있습니다.XSS 문제없이 주소를 표시하는 방법
<%= order.address.address_array.join('<br />').html_safe %>
주소는 address1, address2, 도시 이름, 주 이름, 국가 이름 및 우편 번호 - 표준 항목의 배열입니다.
사용자가 도시 이름에 <script>something</script.
을 입력하면 내용을 html_safe
으로 표시하므로 해당 자바 스크립트 코드가 실행됩니다.
보안 문제를 노출하지 않고 줄 바꿈과 주소를 표시하는 깨끗한 방법은 무엇입니까.
또한 사용자 입력 데이터 (도시 이름)를 html_safe로 표시합니다. 안좋다. 권리 ? –
네, 네가 맞다고 생각해. jdoe 솔루션을 사용해 보거나 .map (& : html_safe) 대신 .map (& : html_escape)을 사용하십시오. – sailor
html_escape. –