清理 Rails 中的输入 XSS 和 HTML 输入

Question

我知道我可以在视图中使用 ActionView 帮助器 strip_tags 方法来清理输出，但是在将用户输入保存到数据库之前清理用户输入的最佳方法是什么？我是否应该找到一种方法将视图助手包含在我的控制器中并重用 strip_tags 方法？我认为 Rails 将在全球范围内提供一些可用的东西来完成类似的事情。

Answer 1

xss_terminate 插件怎么样？

Answer 2

也许消毒宝石：http://wonko.com/post/sanitize

Answer 3

为什么需要清理用户的输入？

通常，每次打印或将其嵌入到更大的输出块中时，所需要的只是对用户输入进行严格的、上下文感知的编码/转义。

Answer 4

为什么要清理用户输入？这甚至没有任何意义！您总是希望清理（转义）输出，而不是输入，因为清理的含义取决于您使用内容的上下文。在任何上下文中都不存在安全的字符串。您不希望数据库中的一堆损坏的字符串在您的应用程序今天使用它们的任何场景中都是“安全的”，因为明天您可能想要对它们做一些不同的事情。如果您的表示层正在做正确的事情（根据上下文转义内容），那么无论其中有多少引号、反斜杠或 DROP TABLE 语句，您都可以。