ruby-on-rails – 如何使用带有rails的WYSIWYG编辑器,还有数据清理服务器端?

ruby-on-rails – 如何使用带有rails的WYSIWYG编辑器,还有数据清理服务器端?,第1张

概述没有WYSIWYG编辑器的稀缺性,但似乎没有简单的途径来拥有一个并保持一些相似的保护,避免绕过客户端验证,包括脚本和对象标签. 我最初的想法是找到一个WYSIWYG编辑器,它将输出markdown,然后在db中存储markdown格式的文本并在显示器上解析.这样可以保护我不会在数据库中存储潜在危险的代码,但也使我无需将编辑器提供的所有可能标记列入白名单,如果它是HTML则需要. 我在这里错过了一些 没有WYSIWYG编辑器的稀缺性,但似乎没有简单的途径来拥有一个并保持一些相似的保护,避免绕过客户端验证,包括脚本和对象标签.

我最初的想法是找到一个WYSIWYG编辑器,它将输出markdown,然后在db中存储markdown格式的文本并在显示器上解析.这样可以保护我不会在数据库中存储潜在危险的代码,但也使我无需将编辑器提供的所有可能标记列入白名单,如果它是HTML则需要.

我在这里错过了一些非常简单的路径吗?其他人如何平衡拥有一个可用的编辑器,但却没有对攻击敞开大门?

解决方法 Ryan Grove’s sanitize gem是非常可定制的,我认为基本或放松模式可用于从WYSIWYG编辑器清理原始HTML(并且您不必将一堆标签列入白名单). 总结

以上是内存溢出为你收集整理的ruby-on-rails – 如何使用带有rails的WYSIWYG编辑器,还有数据清理服务器端?全部内容,希望文章能够帮你解决ruby-on-rails – 如何使用带有rails的WYSIWYG编辑器,还有数据清理服务器端?所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/1269139.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-06-08
下一篇 2022-06-08

发表评论

登录后才能评论

评论列表(0条)

保存