У меня есть сайт, написанный Rails3. В моей модели поста есть текстовый столбец с названием «содержание».
На панели сообщений html-форма устанавливает столбец «content» в поле textarea с помощью tinymce.
На первой странице из-за использования tinymce,код post.html.erb должен быть реализован с помощью необработанного метода, например <% = raw @ post.content%>
.
Хорошо, теперь, если я закрою javascript браузера, это текстовое поле можно будет вводить без tinymce, и, возможно, пользователь введет любой xss, например
. На моей передней панели будет отображаться это окно предупреждения.
Я пытаюсь (скрыть) в posts_controller, но метод sanitize будет фильтровать стиль tinymce друг с другом. Например, foo
станет foo
.
Мой вопрос: как чтобы одновременно отфильтровать ввод xss и зарезервировать стиль tinymce?