从 Rails 清理 JSON 的最佳方法

Question

RoR 3 会自动清理 ERB 模板（如果操作正确）。然而，我有一个小项目，我仅将 RoR 用于应用程序层，并使用 javascript 进行演示。因此，典型的请求是对 Rails 路由的 ajax 调用并渲染返回的 json。问题是我目前可以注入 js，创建一个标题为 的新产品，并且在下一个请求时按原样返回浏览器愉快地解释该脚本。

最好对

1. 帖子中的输入进行清理吗？
2. 清理服务器上的 json 响应？ （覆盖 to_json？）
3. 清理客户端上的 json 响应？

我很感激任何意见。

Answer 1

当您将数据附加到页面时，您应该在内容客户端对 HTML 实体进行编码。

问题是，您的其他产品字段是否有意包含也会被编码的链接或段落标签之类的标记？如果是这种情况，并且您打算在页面上将 json 响应的某些部分呈现为 HTML，那么您应该在创建新产品时清理您的输入，并限制 HTML您允许添加到特定子集的标签，然后清除它们的属性。有一些库可以自动执行此过程，例如 sanitize gem。