我如何纺织和消毒html？

Question

现在我遇到了一些愚蠢的情况。我希望用户能够使用纺织品，但他们不应该在他们的条目周围乱搞我的有效HTML。所以我不得不以某种方式转义HTML。

• html_escape(textilize("</body>Foo"))会使纺织品断裂
• textilize(html_escape("</body>Foo"))可以工作，但是打破了各种纺织特性，比如链接(像"Linkname":http://www.wheretogo.com/一样编写)，因为引号将被转换成"，因此不再被纺织检测。
• sanitize没有做得更好。

对那件有什么建议吗？我不想用蒂迪来解决这个问题。提前谢谢。

Answer 1

这对我很管用，也能防止每次我尝试过的XSS攻击，包括鼠标攻击.pre和代码块中的处理程序：

<%= RedCloth.new( sanitize( @comment.body ), [:filter_html, :filter_styles, :filter_classes, :filter_ids] ).to_html -%>

最初的消毒消除了许多潜在的XSS利用，包括鼠标。

据我所知，除了代码和pre之外，:filter_html可以转义大多数html标记。其他过滤器存在，因为我不希望用户应用任何类、ids和样式。

我刚刚用你的例子测试了我的评论页面

"</body>Foo" 

它完全去掉了流氓的身体标签

我使用红布版本4.2.3和Rails版本2.3.5

Answer 2

看来纺织品根本不支持你想要的东西。

您确实希望只允许一个谨慎控制的HTML子集，但是纺织设计允许任意的HTML。我认为在这种情况下你根本不能使用纺织品(除非它支持这种限制)。

您需要的可能是一个特殊的“受限”版本的纺织品，它只允许“安全”标记(然而，定义它可能已经很棘手)。不过，我不知道是否存在这种情况。

您可能会看到BBCode，它允许限制可能的标记。