我有一个评论系统,人们可以在他们的网站上留下评论。由于rails现在默认情况下会转义所有内容,因此我实际上并没有做任何事情来避免XSS,而且它几乎可以用find。由于某些原因,URL不能转义。
为了显示用户名,我有一个简单的助手:
def display_name(name, site)
if !site.blank?
return link_to(name, site)
else
return name
end
end
但是如果你把javascript:alert(1)这样的东西放到网站字段中,它就会被直接注入到页面中--你知道怎么转义吗?