我们正在构建用户生成的内容网站,我们希望用户能够嵌入视频,幻灯片等内容......任何人都可以推荐一个普遍接受的标签/属性允许在rails中进行消毒,这会给我们提供很好的安全性,同时仍然允许大量的可嵌入内容/ html格式?Rails Sanitize:安全+允许嵌入
5
A
回答
0
只要关闭,您应该可以允许使用对象。您甚至可以定义对象标签的实际可接受参数,以便只允许白名单,并且不能包含任意对象。
但是,为嵌入提供一些UI支持可能会更好。例如,我会提示用户输入YouTube网址,然后从中获取视频的嵌入代码。
以下几个好处: - 默认YouTube的代码不符合标准,所以我可以构建自己的对象代码 - 我有超过嵌入式元素都包含在输出页面的方式完全控制
0
老实说说,允许用户使用所见即所得的Html编辑器听起来不错,但在实践中,它对用户和开发人员来说都不太好。原因是:
- 在不同浏览器中的行为仍然不同。
- 白名单允许保护网站,但用户最终会打电话并要求允许另一个参数作为OBJECT标签或类似名称。黑名单并不安全。
- 很多用户都知道HTML标签是什么。
- 对于用户来说很难格式化文本(你怎么能告诉他们使用HEADER而不是BOLD + FONT-SIZE)。
- 一般来说,这是非常痛苦的,如果需要,您不能真正改变网站设计,因为用户没有正确使用HTML。
如果我会现在正在做CMS-like系统,我可能会用语义标记去。
大多数用户,快速适应它,它只是纯文本(如在这里)。
此外,您可以生成正确的HTML和支持所需的标签。
例如,如果你需要嵌入的图片你可以写这样的:
我面图像 - http://here.there/bla.gif
这将生成HTML你是这样的:
<a class='image-link' title='My Face' href='http://here.there/bla.gif'>
<img alt='My Face' src='http://here.there/bla.gif' />
</a>
有很多标记语言,所以只需选择一个更适合您并添加自己的修改。
例如,GitHub使用修改后的markdown
,解析它的代码只是一行couple。
一个缺点是用户需要学习语言,而不是所见即所得。
Regards,
Dmitriy。
0
这是一个很棒的项目。它甚至已经嵌入分析,只允许YouTube嵌入,例如
相关问题
- 1. 只允许视频嵌入代码(Rails)
- 2. 允许用户嵌入视频的主要安全问题
- 3. Rails安全性:允许斜杠作为用户输入
- 4. 如何安全地允许SQL注入
- 5. Rails - Sanitize Redactor Rails
- 6. 在Rails中允许嵌套参数
- 7. Rails的允许嵌套数组
- 8. 允许安全的表单数据发布到我的rails api
- 9. htaccess:是“允许从127.0.0.1”安全
- 10. 为什么grunt允许全球安装?
- 11. 禁用全局安装 - 只允许virtualenvs
- 12. 春季安全 - 允许匿名访问
- 13. 春季安全允许的URL
- 14. Django的:允许安全的HTML标签
- 15. 允许所有内容安全策略?
- 16. 春季安全只允许oauth登录
- 17. AS3自动允许安全沙箱?
- 18. 允许安全的FTP上传
- 19. Firestore安全 - 只允许已知字段
- 20. 嵌入wmv视频不允许全屏按钮
- 21. 允许嵌入标签,但在Rails中观看危险代码?
- 22. 输入验证安全性 - 不允许使用http://或https://
- 23. 如何允许导入/导出DPAPI安全凭证
- 24. AWS安全组不允许入站流量
- 25. 需要安全性建议允许用户写入CSS文件
- 26. CKEditor:允许视频嵌入代码
- 27. 允许在Yammer中嵌入附件
- 28. 允许在HTMLPurifier中嵌入标签?
- 29. 将安全嵌入码头
- 30. 安全嵌入JavaScript和HTML
你的意思是像降价不需要任何卫生无论如何? – Noz
@Noz不,我不是。 –