text_field_tag中的rails javascript

Question

目前我对javascript/jQuery和rails还是个新手，我使用了一个带有select2-rails的text_field_tag来创建一个带有自动补全等的标签。

它现在工作得很好，但出于好奇，我把它放在

< script >alert("hello");< /script >

(不带空格)，然后弹出警告。这不是很不安全吗？有什么我应该添加的东西来阻止javascript在那个text_field中被执行吗？

Edit:：This is my javascript在该页面上应用于我的text_field_tag：

$(document).ready(function() {  
    $("#filter-in-postkey-select2").select2( {  
        width                   : "450px",   
        placeholder             : "No postkeys. Add some here now!",  
        minimumInputLength      : 1,  
        maximumSelectionSize    : 5,  
        tags                    : ["red", "brown", "green"],  
        tokenSeparators         : [",", " "]  
    });  
});  

我的文本字段很简单：

<%= text_field_tag "filter-in-postkey-select2" %>

Answer 1

可以使用诸如XSS_terminate之类的插件来转义用户的输入

然后它就像在你的模型中这样做一样简单：

class YourModel < ActiveRecord::Base
  xss_terminate :except => [ :your_input_field_to_be_exempt ]
end