在Rails 5.2.3 erb模板中:
<% input = "<script>alert('XSS')</script>" %> <p><%= input %></p>
显示的是<script>alert('XSS')</script>,而不是&gt。等
<script>alert('XSS')</script>
不是应该用来防止反射的XSS攻击吗?如果从params [:input]
原始在html中输出:
需要查看源ctrl + u如Gabor建议