如何允许轨的JavaScript：在数据

Question

我有广告HTML的数据库，其中一些包含JavaScript函数。有没有办法让钢轨允许javascript：标记特定模型上的特定属性？

为了进一步澄清，我可以把HTML了在编辑的形式，但是当我试图提交，我的浏览器（Firefox）说，连接被重置。 IE也给我一个错误。唯一允许提交html的是从标签中删除javascript：。

我的猜测是，这是Rails的安全措施，不允许JavaScript注入，但是，我有过这些广告的HTML无法控制，很多的JavaScript在其中。

如果我的猜测是确实是正确的，是有办法来覆盖这个模式这一个属性的安全性？或者我在这里摆脱目标？

我用Rails 2.3.4关于Ruby 1.8.7

Answer 1

现在，我从来没有使用的轨道，但这个想法应该是一样的，你只是想保存的javascript为一个字符串，然后当你显示它，不要转义数据。做到这一点的更好方法是链接到您的JavaScript，然后将调用存储到数据库中的函数。

Answer 2

没有看到任何代码，我猜你正在使用sanitize。考虑传输并存储您的javascript转义，而不是消毒，然后在实际需要时使用它。