Comment assainir en toute sécurité l'entrée de TinyMCE dans ruby?

Je viens d'ajouter TinyMCE à un petit CMS que j'ai construit dans Rails. J'ai utilisé Redcloth avant de styler les articles générés par les utilisateurs.Comment assainir en toute sécurité l'entrée de TinyMCE dans ruby?

Depuis que j'ai commencé à utiliser TinyMCE, je voudrais également permettre aux utilisateurs d'intégrer de la vidéo (depuis youtube par exemple) dans leur blog.

J'utilise l'assistant de suivi dans les vues:

sanitize(text, 
     :tags => %w(a object p param h1 h2 h3 h4 h5 h6 br hr ul li img), 
     :attributes => %w(href name src type value width height data))

cela est sans danger? Ou devrais-je ne pas autoriser ces balises? Si oui, quels tags puis-je autoriser? Comment puis-je tester pour m'assurer?

Ceci est toujours en cours.

Merci

Deb

Source

2010-09-22 deb

Vous êtes en train de vous débarrasser de tous les styles avec cela. Pourquoi utiliser TinyMCE? – Trip

Ils peuvent ajouter des images, des listes, des en-têtes et des vidéos. Personne ne veut utiliser le textile sauf moi :). – deb

Vous êtes autorisé à utiliser tous les tags que vous voulez à l'aide du valid_elements configuration option, consultez le paramètre par défaut, vous pouvez développer. Vous pouvez également jeter un oeil à la custom_elements option.

Source

2010-09-23 11:30:53 Thariama

Comment assainir en toute sécurité l'entrée de TinyMCE dans ruby?

Répondre

Questions connexes