如何允许 Rails 在数据中包含 javascript:

Question

我有一个广告 html 数据库，其中一些包含 Javascript 函数。有没有办法让 Rails 允许 javascript: 特定模型上特定属性的标签？

为了进一步澄清，我可以在编辑表单中显示 html，但是当我尝试提交时，我的浏览器 (Firefox) 表示连接已重置。 IE 也给我一个错误。唯一允许提交 html 的是从标签中删除 javascript: 。

我的猜测是，这是 Rails 的一项安全措施，不允许 javascript 注入，但是，我无法控制这些广告的 html，而且许多广告中都有 javascript。

如果我的猜测确实正确，是否有一种方法可以覆盖该模型的这一属性的安全性？还是我离目标太远了？

我在 Ruby 1.8.7 上使用 Rails 2.3.4

Answer 1

现在我从未使用过rails，但想法应该是相同的，你只想将javascript存储为字符串，然后当你显示它时，不要转义数据。更好的方法是链接到您的 javascript，然后将对函数的调用存储在数据库中。

Answer 2

如果没有看到任何代码，我猜您正在使用sanitize。不要进行清理，而是考虑传输和存储转义的 JavaScript，然后在实际需要使用它时取消转义。