Rails sanitize() 方法有多好？

Question

我可以使用 ActionView::Helpers::SanitizeHelper#sanitize我计划向其他用户显示的用户输入的文本？例如，它能否正确处理本网站描述的所有案例？

此外，文档还提到：

请注意消毒 用户提供的文本不保证 结果标记有效 （符合文档类型）或 甚至是结构良好的。输出可能仍然 包含例如未转义的 '<'、'>'、'&' 字符并混淆浏览器。

处理这个问题的最佳方法是什么？在显示之前通过 Hpricot 传递清理后的文本？

Answer 1

Ryan Grove 的 Sanitize 比 Rails 3 sanitize 走得更远。它确保输出 HTML 格式良好，并具有三个内置白名单：

Sanitize::Config::RESTRICTED
仅允许非常简单的内联格式化标记。没有链接、图像或块元素。

清理::配置::基本
允许各种标记，包括格式化标签、链接和列表。不允许使用图像和表格，链接仅限于 FTP、HTTP、HTTPS 和 mailto 协议，并且向所有链接添加属性以减少 SEO 垃圾邮件。

Sanitize::Config::RELAXED 允许比 BASIC 更广泛的标记，包括图像和表格。链接仍仅限于 FTP、HTTP、HTTPS 和 mailto 协议，而图像仅限于 HTTP 和 HTTPS。在此模式下，不会添加到链接。

Answer 2

Sanitize 肯定比“h”助手更好。它实际上允许您指定的 html 标签，而不是转义所有内容。是的，它确实可以防止跨站点脚本编写，因为它完全从混合中删除了 javascript。

简而言之，两者都会完成工作。当您不期望明文以外的任何内容时，请使用“h”；当您希望允许某些内容或您认为人们可能会尝试输入它时，请使用“sanitize”。即使您不允许使用清理功能的所有标签，它也会通过删除它们来“美化”代码，而不是像“h”那样转义它们。

至于不完整的标签：您可以对通过 hpricot 传递包含 html 的字段的模型运行验证，但我认为这在大多数应用程序中都太过分了。

Answer 3

最佳的操作方案取决于两件事：

• 您的 Rails 版本（2.x 或 3.x）
• 您的用户是否应该在输入中输入 任何 html。

作为一般规则，我不允许我的用户输入 html - 相反，我让他们输入纺织品。

在 Rails 3.x 上：

默认情况下会对用户输入进行清理。您不必执行任何操作，除非您希望用户能够发送一些 html。在这种情况下，请继续阅读。

此railscast处理rails 3上的XSS攻击。

在rails 2.x上：

如果您不允许用户发送任何html，只需使用h方法保护您的输出，如下所示：

<%= h post.text %>

如果您希望用户发送一些html：您可以使用rails的 sanitize 方法或 HTML::StathamSanitizer