我知道在视图中可以使用ActionView助手strip_tags
方法来清洗输出,但是在将用户输入存储到数据库之前,最好的方法是什么?我应该找到一种方式将视图助手包含在我的控制器中并重用strip_tags方法吗?我认为Rails应该有全局可用的东西来做类似这样的事情。
我知道在视图中可以使用ActionView助手strip_tags
方法来清洗输出,但是在将用户输入存储到数据库之前,最好的方法是什么?我应该找到一种方式将视图助手包含在我的控制器中并重用strip_tags方法吗?我认为Rails应该有全局可用的东西来做类似这样的事情。
关于 xss_terminate 插件呢?
为什么需要对用户输入进行清理?
通常情况下,只需要在打印或嵌入到较大的输出块中时,对用户输入进行严格的上下文感知编码/转义即可。