从开发人员的角度来看,我了解HTML安全允许您将HTML标记/实体放在控制器内的字符串中,然后在视图中将该字符串呈现为HTML。
但是,从安全的角度来看,我不确定我理解为什么这是必要的。我什么时候不在字符串上使用html_safe?在我的例子中,这是一个用户可编辑的字段,但我无法想象这将导致什么类型的攻击。</ p>
答案 0 :(得分:1)
http://guides.rubyonrails.org/security.html
关于安全问题的非常明确的指南,包括XSS,以及为什么要逃避用户可编辑的内容。