我想创建一个Rails应用程序,用户可以创建自己的博客在一个子域,如:user1blog.myapp.com,user2blog.myapp.com等等如何允许用户添加HTML和JavaScript在我的Rails应用程序
我想允许用户添加HTML和JavaScript(有时他们需要添加弹出到他们的博客,或跟踪代码...)
我看到很多网站,允许用户添加脚本和HTML没有任何限制,但我怎么能做这也不会影响我的Rails应用程序的安全性?
有多个方面对这个问题:
动态子域:
其他问题解决这个问题:
Ruby on Rails route for wildcard subdomains to a controller/action
简短的回答,还有很多方式和它取决于你的用例。
用户提交的HTML,JS
解决方法有很多在这里。
我建议搜索“CMS”(内容管理系统)。
有像炼油厂,舒适的墨西哥沙发等解决方案。 同样,这很大程度上取决于您的使用情况。我的Rails应用程序的
安全
如果您允许用户提交的HTML和JS,我会说,你是隐影响您的网站的安全性。您的Rails应用程序本身可能是安全的,但这是关于xss,auth [z/n]和其他项目的主要话题。再一次,高度依赖于你的用例。
我知道子域名,但我不认为他们解决了安全问题!每次你说依赖于我的用例!!!我认为我的用例很简单:找到任何类型的解决方案是安全的,同时允许用户保存javascript和html代码。博客和thumblr等网站如何做? – medBo 2015-03-02 23:30:33
问题是“安全问题”未在您的问题中确定。你担心什么问题? 例如,作为一个微不足道的情况(这不好) - 为什么你不能允许一个允许任意上传文件的表单,以及“子域”的文本字段? – cmonkey 2015-03-02 23:36:23
我没有指定确切的问题,因为我不知道所有的攻击可能性,但主要是阻止用户访问另一个用户帐户,我也将在我的主域中有一个管理区我不会让其他用户访问太... – medBo 2015-03-02 23:44:00