`
muyu
  • 浏览: 223282 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

过滤HTML字符--sanitize

阅读更多

 

Rails默认用 h 来转义html,如果我们希望输出带有html格式的信息,此时应加上sanitize方法,它可以吧<form> 和 <script>、on=、javascript:等危险标签统统去掉!

 

一条原则:不用h就用 sanitize!

 

Sanitize太彻底了,去掉了所有的html标签,包括图片。

 

自定义选项

 

通过查询API,

 

<%= sanitize @article.body, :tags => %w(table tr td), :attributes => %w(id class style) %>

 

比如,对于商铺简介,显示方式为:

 

<%= sanitize @league.intro, :tags => %w(p img), :attributes => %w(style src height width alt ) %>

 

分享到:
评论

相关推荐

    前端开源库-sanitize

    `sanitize`是一个非常实用的前端开源库,专门用于清理和过滤不安全的输入,防止XSS(跨站脚本攻击)等安全问题。本文将详细介绍这个库,并探讨其在Node.js环境中的应用。 一、`sanitize`库的基本概念 `sanitize`库...

    angular-ngSanitize模块-$sanitize服务详解

    `$sanitize`服务的核心是`sanitize`函数,它使用一个名为`linky`的过滤器来处理HTML字符串,识别并转换URL为可点击的链接。源码中还有对CSS选择器的处理,以防止CSS注入攻击。 **6. 实际应用示例** 在实际开发中,...

    PHP程序设计-3期(KC016) PHP高级应用-过滤函数1-拓展知识.doc

    5. **FILTER_SANITIZE_SPECIAL_CHARS**:这个过滤器用于HTML转义,将字符如'"&lt;&gt;&'以及ASCII值小于32的字符编码,防止注入攻击。 6. **FILTER_SANITIZE_EMAIL**:删除所有非字母、数字字符,只保留 "!#$%&'*+-/=?^_`...

    sanitize-object-deep-by-regex

    在IT行业中,`sanitize-object-deep-by-regex`是一个可能涉及到的数据清理或过滤工具,尤其在处理用户输入或者从不安全的源获取数据时显得尤为重要。这个工具可能使用了TypeScript编程语言,提供了深度清洗对象的...

    robyn-sanitize

    然后,在代码中导入库,并调用提供的函数来处理HTML字符串。例如,你可能有一个名为`unsafeHtml`的变量,你可以用如下方式消毒它: ```javascript const sanitizeHtml = require('robyn-sanitize'); let safeHtml ...

    angular-sanitize

    1. **$sanitize服务**:这是Angular Sanitize的核心,它接收一段HTML字符串,并移除其中的不安全标签和属性,确保返回的HTML是安全的,可以插入到DOM中而不引发XSS漏洞。 2. **ngBindHtml指令**:这个指令允许将...

    PHP Filter 函数

    - **FILTER_SANITIZE_SPECIAL_CHARS**:HTML 转义字符 '"&lt;&gt;& 以及 ASCII 值小于 32 的字符。 - **FILTER_SANITIZE_EMAIL**:删除所有字符,除了字母、数字以及 !#$%&'*+-/=?^_`{|}~@.[] - **FILTER_SANITIZE_URL**:...

    javascript过滤XSS

    `js-xss`库的核心功能是`sanitize`函数,它接收一个字符串作为参数,返回一个经过过滤的安全字符串。这个函数能够识别并转义常见的XSS攻击模式,如`&lt;script&gt;`标签、事件属性(onclick、onmouseover等)、CSS表达式等...

    Python库 | html_sanitizer-1.5.0-py2.py3-none-any.whl

    下面是一个简单的示例,展示如何使用这个库来清理一段HTML字符串: ```python from html_sanitizer import Sanitizer # 假设这是用户输入的HTML字符串 user_html = '&lt;p&gt;Hello, &lt;script&gt;alert("XSS")世界!&lt;/p&gt;' #...

    Vue 将后台传过来的带html字段的字符串转换为 HTML

    为了将后台传来的HTML字符串渲染为实际的HTML元素,Vue提供了一个特殊的指令——`v-html`。`v-html`指令允许我们将一个变量的值作为HTML内容插入到DOM中。以下是一个简单的例子: ```html &lt;div v-for="item in ...

    Laravel开发-laravel-request-sanitizer

    这个包提供了优雅的方式来过滤、验证和转换用户提交的数据,避免了在控制器或服务层中编写大量重复的清理代码。 ### 请求输入清理的重要性 在Web应用中,用户提交的数据往往未经验证,可能包含恶意内容或不符合...

    PHP 过滤器,用于对输入和输出数据进行验证和过滤.md

    - **功能**:去除字符串中的特殊字符,并进行 HTML 实体编码。 - **应用场景**:用于显示用户提交的数据时,可以防止 XSS 攻击。 - **示例代码**: ```php $text = "&lt;script&gt;alert('XSS');&lt;/script&gt;"; $safe_text...

    php过滤请求中数据方法

    上述代码中,`FILTER_SANITIZE_STRING`是一个预定义的过滤器,它会去除字符串中的HTML标签和特殊字符。 2. `filter_input()`: 这个函数专门用于处理HTTP输入数据,如GET、POST和COOKIE: ```php $username = ...

    关 于 html 的 问题

    为了更安全地处理HTML,推荐使用专门的库,如`sanitize-html`,它们能够更好地防范各种潜在的安全威胁。 #### 3.2 性能考虑 当处理大量数据时,正则表达式的性能可能成为瓶颈。在高负载场景下,可以考虑使用DOM解析...

    sanitize:Crystal库,用于转换HTMLXML树以清理来自不受信任来源HTML

    然后,使用这个策略对象对HTML字符串进行清理,`sanitize`库将根据你的规则处理HTML,返回一个安全的版本。 除了基本的HTML清理,`sanitize`库还支持XML转换。XML虽然常用于数据交换,但也可能遭受类似的攻击。通过...

    PHP Filter过滤器全面解析

    例如,`FILTER_SANITIZE_STRING`可以去除HTML标签。 过滤器选项和标志: 过滤器可以接受选项和标志以进一步定制过滤行为。选项通常以关联数组的形式传递,如`array("options" =&gt; array("min_range" =&gt; 0, "max_...

    web_sanitize:用于清理不受信任HTML的Lua库

    `web_sanitize` 库就是为了解决这个问题而设计的,它通过解析和过滤HTML,移除可能的恶意元素和属性,来实现HTML的净化。 该库的核心功能包括: 1. HTML解析:`web_sanitize` 使用HTML解析器来分解输入的HTML字符串...

    PHP简单字符串过滤方法示例

    对于更复杂的过滤需求,比如HTML标签的清理或者URL编码解码,可能需要使用其他函数,如`htmlspecialchars`用于转义HTML特殊字符,`preg_replace`进行正则表达式匹配和替换,或者`filter_var`对变量进行过滤和验证。...

Global site tag (gtag.js) - Google Analytics