清理 Rails 中的 Markdown？

Question

用户可以在我的应用程序中编辑“文章”。每篇文章都在数据库中掌握并以 Markdown 形式发送到客户端——我使用 Javascript 将其转换为 HTML 客户端。

我这样做是为了当用户想要编辑文章时，他可以编辑并将 Markdown 直接发布回服务器（因为它已经在页面上）。

我的问题是如何清理发送给客户端的 Markdown ——我可以只使用 Rails 的 sanitize 助手吗？

另外，总体上对这种方法有什么想法吗？我想到的另一个策略是在服务器上渲染和清理 HTML，仅当用户想要编辑文章时才将 Markdown 拉到客户端。

Answer 1

我遵循几个原则：

• 存储用户输入的内容，
• 在显示时清理，
• 仅发送必要的数据

这使我想到了您建议的替代架构：

• 在渲染时将 markdown 存储在数据库中
• ，markdown/清理，并在
• （并且如果）用户选择“编辑”，通过 AJAX 从服务器请求原始降价
• 如果我在编辑期间有“预览”视图，我也尝试使用服务器来呈现它（尽管您可能需要删除此步骤，如果太慢了）。不过，在预览期间，清理可能并不那么重要。

这就是我的方法，而且效果非常好。

Answer 2

这里的其他答案都很好，但让我提出一些关于消毒的建议。 Rails 内置的消毒器很不错，但它不能保证格式良好，这往往是问题的一半。它也很可能被利用，因为它不是最好的品种，而且它的安装足迹很大，可供黑客攻击。

我相信当今最好、最具前瞻性的清理是 html5lib，因为它是为像浏览器一样进行解析而编写的，并且它是该领域许多领导者的合作成果。然而它有点慢并且不太像 Ruby。

在 Ruby 中，我推荐 Loofah ，它逐字地提升了一些 html5 清理内容，但使用 Nokogiri 并运行速度要快得多，或者 Sanitize ，它有一个可靠的测试套件和非常好的可配置性（不要让自己陷入困境）不过脚）。

我刚刚发布了一个名为 ActsAsSanitiled 的插件，它是 ActsAsTextiled 的重写，可以自动清理纺织输出以及使用消毒宝石。它旨在为您提供两全其美的功能：数据库中的输入不受影响，而字段始终输出安全的 HTML，而无需记住模板中的任何内容。我自己不使用 Markdown，但我会考虑添加 BlueCloth 支持。

Answer 3

我没有在 Rails 中使用过 Markdown，但我的方法是获取提交的 Markdown 并将其存储在数据库中，以及它的 HTML 渲染和清理副本。这样，您就不会在清理过程中丢弃任何信息，并且每次想要显示文章时都不必重新渲染 Markdown。

Rails 的清理助手应该可以完成这项工作。还有许多插件（例如 xss_shield 和 xss_terminate）可用于将您的输出列入白名单，以确保您不会忘记清理！