Rails sanitize() 方法有多好？

Posted 2023-02-19

【中文标题】Rails sanitize() 方法有多好？

【英文标题】：How good is the Rails sanitize() method?

【发布时间】：2011-02-28 11:02:48

【问题描述】：

我可以在我打算向其他用户显示的用户输入文本上使用ActionView::Helpers::SanitizeHelper#sanitize 吗？例如，它会正确处理all cases described on this site吗？

此外，文档中提到：

请注意消毒 用户提供的文字不保证 结果标记是有效的 （符合文件类型）或 甚至形成良好。输出可能仍然 包含例如未转义的 '', '&' 字符和混淆浏览器。

处理此问题的最佳方法是什么？在显示之前通过Hpricot 传递净化后的文本？

【参考方案1】：

Ryan Grove 的 Sanitize 比 Rails 3 sanitize 走得更远。它确保输出 html 格式正确，并具有三个内置白名单：

清理::Config::RESTRICTED 只允许非常简单的内联格式标记。没有链接、图像或块元素。

清理::Config::BASIC 允许各种标记，包括格式化标签、链接和列表。不允许使用图像和表格，链接仅限于 FTP、HTTP、HTTPS 和 mailto 协议，并为所有链接添加属性以减少 SEO 垃圾邮件。

Sanitize::Config::RELAXED 允许比 BASIC 更广泛的标记，包括图像和表格。链接仍然仅限于 FTP、HTTP、HTTPS 和 mailto 协议，而图像仅限于 HTTP 和 HTTPS。在此模式下，不会添加到链接中。

【讨论】：

这是一篇关于 Ryan Grove 的 Sanitize vs the Rails 3 sanitize: devblog.supportbee.com/2011/08/15/sanitizing-css-in-rails

的最新文章

【参考方案2】：

Sanitize 肯定比“h”助手好。它实际上允许您指定的 html 标记，而不是转义所有内容。是的，它确实阻止了跨站点脚本，因为它完全从混合中删除了 javascript。

简而言之，两者都能完成工作。当您不期望纯文本以外的任何内容时使用“h”，并在您想要允许某些内容时使用 sanitize，或者您认为人们可能会尝试输入它。即使您禁止所有带有 sanitize 的标签，它也会通过删除它们而不是像“h”那样转义它们来“美化”代码。

至于不完整的标签：您可以在通过 hpricot 传递包含 html 的字段的模型上运行验证，但我认为这在大多数应用程序中是多余的。

【讨论】：

大家应该注意到Rails 4正在迁移到Loofah gem进行清理，可以在rails 3中独立使用，到目前为止看起来非常好。

【参考方案3】：

最佳行动方案取决于两件事：

您的 rails 版本（2.x 或 3.x） 您的用户是否应该在输入中输入

any

html。

一般来说，我不允许我的用户输入 html，而是让他们输入 Textile。

在 Rails 3.x 上：

默认情况下会过滤用户输入。您不必做任何事情，除非您希望您的用户能够发送一些 html。在这种情况下，请继续阅读。

This railscast 处理 Rails 3 上的 XSS 攻击。

在 Rails 2.x 上：

如果您不允许用户使用任何 html，只需使用 h 方法保护您的输出，如下所示：

<%= h post.text %>

如果您希望您的用户发送一些 html：您可以使用 rails 的sanitize 方法或HTML::StathamSanitizer

【讨论】：

不是直接的，但对于随机的谷歌用户（我）来说，这是一个很好的信息，可以更好地理解这个问题

我认为应该添加用户输入是 ~escaped~ 默认情况下，未清理，如果你使用 用户可以输入的任何内容，你应该清理它