Rails“原始”帮手

Question

在可能有许多用户的 Rails 应用程序中使用“原始”助手是否安全？

我将把 TinyMCE 与我的应用程序集成，以便用户将 HTML 内容添加到某种形式的帖子中。使用“原始”显示其内容是否存在安全问题？

或者有更合适的做事方式吗？

谢谢！

Answer 1

来自精细手册：

此方法输出时不会转义字符串。 [...]如果数据来自用户输入，则不建议这样做。

所以，是的，使用 raw 可能会带来一些安全问题（对于您的用户而言），除非您正确清理传入的 HTML。

您不应该信任客户端。即使您已经使用有限的标签集设置了 TinyMCE，您也无法保证您的服务器收到的 HTML 实际上来自 TinyMCE，或者有人没有以某种方式解决过 TinyMCE。

如果您接受用户的 HTML，则需要在存储之前将标签和属性列入白名单。

您可以使用 Nokogiri 按标签解析传入的 HTML 标签，如果某个标签在您的白名单上，则让它通过，如果您没有明确允许该标签（即它不在您的白名单中），然后将其丢弃。并且，您需要检查允许通过的标签上的属性，以便只有您想要的属性和属性值可以通过。不在白名单中的任何标签、属性或属性值都会被丢弃。清除传入的 HTML 后，您可以存储它并使用 raw 帮助器将其安全地呈现给用户。

这种增加的复杂性是许多网站使用 Markdown、BB-Code 或其他生成 HTML 的标记语言的原因之一。