Я использую Rails3 с tinymce. Как представить пользователю закрытый браузер javascript, а затем ввести xss?

У меня есть сайт, написанный Rails3. В моей модели поста есть текстовый столбец с названием «содержание». На панели сообщений html-форма устанавливает столбец «content» в поле textarea с помощью tinymce. На первой странице из-за использования tinymce,код post.html.erb должен быть реализован с помощью необработанного метода, например <% = raw @ post.content%> .

Хорошо, теперь, если я закрою javascript браузера, это текстовое поле можно будет вводить без tinymce, и, возможно, пользователь введет любой xss, например . На моей передней панели будет отображаться это окно предупреждения.

Я пытаюсь (скрыть) в posts_controller, но метод sanitize будет фильтровать стиль tinymce друг с другом. Например, foo станет foo .

Мой вопрос: как чтобы одновременно отфильтровать ввод xss и зарезервировать стиль tinymce?